SERVER DỰ PHÒNG 2003

Tài liệu quản trị mạng Server 2003 như chi tiết cách cài đặt, tạo thêm 1 Server đồng hành để phòng hờ trường hợp Server chính bị trục trặc, tạo domain, gia nhập máy con vào domain, remote destop conection {từ máy con truy xuất dữ liệu vào máy server}, cài đặt thông số ADSL router vào máy server, tắt 1 máy con đang hoạt động ngay tức thời.

- Nếu gia tăng thêm số lượng máy con vào domain thì gắn thêm Switch như thế nào để đảm bảo truyền dữ liệu và truy cập internet được tốt nhất

- Số lượng máy bao nhiêu thì nên dùng đường truyền ADSL với tốc độ như thế nào (ví dụ khoảng 50 máy, 70 máy, hơn 100 máy).

Với câu hỏi trên, chúng tôi sẽ trả lời lần lượt như sau:

Chi tiết cách cài đặt domain và cài đặt thông số ADSL router vào máy server:

Trước tiên bạn phải Cài đặt Windows Server 2003

Tiến hành các bước sau trên Computer sẽ đóng vai trò Domain Controller

1. Đưa đĩa CD cài đặt vào CD-ROM, khởi động lại Computer. Cho phép boot từ đĩa CD

2. Chương trình Windows setup bằt đầu load những Files phục vụ cho việc cài đặt. Nhấn Enter khi mà hình Welcome to Setup xuất hiện

3. Đọc những điều khoản về License trên Windows Licensing Agreement, sau đó nhấn F8 để đồng ý với các điều khoản quy định của MS

4. Trên Windows Server 2003, xuất hiện màn hình tạo các phân vùng Partition trên đĩa cứng, trước hết tạo Partition dùng cho việc cài đặt Hệ Điều hành. Nhấn ENTER.

5. Trên Windows Server 2003, chọn Format the partition using the NTFS file system Nhấn ENTER.

6. Chương trình Windows Setup tiến hành định dạng (format) đĩa cứng, sẽ chờ ít phút cho tiến trình này hoàn tất

7. Computer sẽ tự Restart khi tiến trình copy File vào đĩa cứng hoàn tất

8. Computer sẽ restart lại và boot giao diện đồ họa. Click Next trên trang Regional and Language Options

9. Trên trang Personalize Your Software, điền Tên và Tổ chức của Bạn

Ví dụ: Name: Server 2003

Organization: Quan Tri Mang

10. Trên trang Product Key điền vào 25 chữ số của Product Key mà bạn có và click Next.

11. Trên trang Licensing Modes chọn đúng option được áp dụng cho version Windows Server 2003 mà bạn cài đặt. Nếu cài đặt Licence ở chế độ per server licensing, hãy đưa vào số connections mà bạn đã có License. Click Next.

12. Trên trang Computer Name và Administrator Password điền tên của Computer ví dụ Server2003, tên này được điền vào Computer Name text box. Điền tiếp vào mục Administrator password và xác nhận lại password tại mục Confirm password (ghi nhớ lại password administrator cẩn thận, nếu không thì bạn cũng không thể log-on vào Server cho các hoạt động tiếp theo). Click Next.

13. Trên trang Date and Time Settings xác lập chính xác Ngày, giờ và múi giờ Việt Nam (nếu các bạn ở Việt Nam), lưu ý time zone là GMT + 7

Click Next.

14. Trên trang Networking Settings, chọn Custom settings option.

15. Trên trang Network Components, chọn Internet Protocol (TCP/IP) entry trong Components và click Properties.

16. Trong Internet Protocol (TCP/IP) Properties dialog box, xác lập các thông số sau:

IP address: 10.0.0.2.

Subnet mask: 255.255.255.0.

Default gateway: 10.0.0.1 (chú ý Default Gateway 10.0.0.1 này cũng là IP address của Card Ethernet cua Router ADSL).

Preferred DNS server: 10.0.0.2 và Additional DNS server la địa chỉ mà ISP đã cung cấp cho ADSL Router, ví dụ : 203.162.4.1

17. Click OK trong Advanced TCP/IP Settings dialog box.

18. Click OK trong Internet Protocol (TCP/IP) Properties dialog box.

19. Click Next trên trang Networking Components.

20. Chấp nhận lựa chọn mặc định môi trường Network là Workgroup (chúng ta sẽ tạo môi trường Domain sau, thăng cấp (promote) máy này trở thành một Domain controller và cũng là thành viên của Domain. Click Next.

21. Tiến trình cài đặt được tiếp tục và khi Finish, Computer sẽ tự khởi động lại

22. Log-on lần đầu tiên vào Windows Server 2003 dùng password mà chúng ta đã tạo cho tài khoản Administrator trong quá trình Setup.

23. Xuất hiện đầu tiên trên màn hình là trang Manage Your Server, bạn nên check vào "Don't display this page at logon checkbox" và đóng cửa sổ Window lại.

Bước kế tiếp là quá trình cài đặt và cấu hình DNS trước khi chạy tiện ích dcpromo

Bước kế tiếp là cài đặt Domain Naming System (DNS) server trên chính server này. Điều này là cần thiết vì Active Directory Service hoạt động trên Domain Controller, kiểm soát toàn Domain yêu cầu phải có DNS server service phục vụ cho nhu cầu truy vấn tên như hostname, đăng kí các record (A, PTR, SRV records v.v..). Chúng ta sẽ cài DNS server và sau đó sẽ nâng vai trò Computer này lên thành một Domain Controller, và DNS server này sẽ phục vụ truy vấn cho toàn Domain.

Tiến hành các bước sau để cài đặt DNS server

1. Click Start, Control Panel. Click Add or Remove Programs.

2. Trong Add or Remove Programs, click Add/Remove Windows Components

3. Trong Windows Components, xem qua danh sách Components và click Networking Services entry > Click Details.

4. Check vào Domain Name System (DNS) checkbox và click OK.

5. Click Next trong Windows Components.

6. Click Finish trên Completing the Windows Components Wizard.

7. Đóng Add or Remove Programs

DNS server đã được cài đặt, Admin cần đưa vào DNS Server các thông số cụ thể phục vụ cho hoạt động truy vấn tên, cụ thể là sẽ tạo ra hai vùng Forward và Reverse lookup zones.

Tiến hành các bước sau để cấu hình DNS server:

1. Click Start và sau đó click Administrative Tools > Chọn DNS.

2. Trong bảng làm việc của DNS (DNS console), mở rộng server name (Server2003 ), sau đó click trên Reverse Lookup Zones. Right click Reverse Lookup Zones và chọn New Zone.

3. Kích Next trên Welcome to the New Zone Wizard.

4. Trên Zone Type , chọn Primary zone option và click Next.

5. Trên Reverse Lookup Zone Name page, chọn Network ID option và Enter 10.0.0 vào text box > Click Next.

6. Chấp nhận chọn lựa mặc định trên Zone File page, và click Next.

7. Trên Dynamic Update page, chọn Allow both nonsecure and secure dynamic updates option. Click Next.

8. Click Finish trên Completing the New Zone Wizard page.

Kế tiếp chúng ta tạo Forward lookup zone cho Domain mà Computer này sẽ là Domain Controller. Tiến hành các bước sau:

1. Right click Forward Lookup Zone và click New Zone.

2. Click Next trên Welcome to the New Zone Wizard page.

3. Trên Zone Type page, chọn Primary zone option và click Next.

4. Trên Zone Name page, điền tên của forward lookup zone trong Zone name text box. Trong ví dụ này tên của zone là quantrimang.com, trùng với tên của Domain sẽ tạo sau này. Đưa quantrimang.com vào text box. Click Next.

5. Chấp nhận các xác lập mặc định trên Zone File page và click Next.

6. Trên Dynamic Update page, chọn Allow both nonsecure and secure dynamic updates. Click Next.

7. Click Finish trên Completing the New Zone Wizard page.

8. Mở rộng Forward Lookup Zones và click vào MSFirewall.org zone. Right click trên quantrimang.com và Click New Host (A).

9. Trong New Host dialog box, điền vào chính xác Server2003 trong Name (uses parent domain name if blank) text box. Trong IP address text box, điền vào 10.0.0.2. Check vào "Create associated pointer (PTR) record checkbox".

Click Add Host. Click OK trong DNS dialog box thông báo rằng (A) Record đã được tạo

xong. Click Done trong New Host text box.

10. Right click trên quantrimang.com forward lookup zone và click Properties. Click Name Servers tab. Click exchange2003be entry và click Edit.

11. Trong Server fully qualified domain name (FQDN) text box, điền vào tên đầy đủ của Domain controller computer là Server2003. quantrimang.com. Click Resolve. Sẽ nhận thấy, IP address của Server xuất hiện trong IP address list. Click OK.

12. Click Apply và sau đó click OK trên quantrimang.com Properties dialog box.

13. Right click trên DNS server name Server2003, chọn All Tasks. Click Restart.

14. Close DNS console.

Giờ đây Computer này đã sẵn sàng để nâng vai trò lên Thành một Domain controller trong Domain quantrimang.com

Tiến hành các bước sau để tạo Domain và nâng server này thành Domain Controller đầu tiên của Domain

Cài đặt First Domain Controller

1. Click Start và click Run .

2. Trong Run dialog box, đánh lệnh dcpromo trong Open text box và click OK.

3. Click Next trên Welcome to the Active Directory Installation Wizard page.

4. Click Next trên Operating System Compatibility page.

5. Trên Domain Controller Type page, chọn Domain controller for a new domain option và click Next.

6. Trên Create New Domain page, chọn Domain in a new forest option và click Next.

7. Trên New Domain Name page, điền tên đầy đủ của Domain (Full DNS name) quantrimang.com text box và click Next.

8. Trên NetBIOS Domain Name page (NetBIOS name của Domain nhằm support cho các Windows OS- như các dòng Windows NT và WINDOWS 9x đời cũ, khi các Client này muốn giao dịch với Domain), chấp nhận NetBIOS name mặc định Trong ví dụ này là tuoitre. Click Next.

9. Chấp nhận các xác lập mặc định trên Database and Log Folders page và click Next.

10. Trên Shared System Volume page, chấp nhận vị trí lưu trữ mặc định và click Next.

11. Trên DNS Registration Diagnostics page, chọn I will correct the problem later by configuring DNS manually (Advanced). Click Next.

12. Trên Permissions page, chọn Permissions compatible only with Windows 2000 or Windows Server 2003 operating system option. Click Next.

13. Trên Directory Services Restore Mode Administrator Password page (chế độ phục hồi cho Domain Controller khi DC này gặp phải sự cố, Khi DC offline, vào chế độ troubleshoot này bằng cách Restart Computer, chọn F8), điền vào Restore Mode Password và sau đó Confirm password. (Các Admin không nên nhầm lẫn Password ở chế độ này với Domain Administrator Password, điều khiển hoạt động của DCs hoặc Domain). Click Next.

14. Trên Summary page, click Next.

15. Bây giờ là lúc Computer cần Restart để các thông số vừa cài đặt Active

16. Click Finish trên Completing the Active Directory Installation Wizard page, hoàn thành việc cài đặt.

17. Click Restart Now trên Active Directory Installation Wizard page.

18. Log-on vào Domain Controller dùng tài khoản Administrator.

Tạo thêm 1 Server đồng hành để phòng hờ trường hợp Server chính bị trục trặc:

1. Cấu hình địa chỉ Server như sau : IP address: 10.0.0.3. Subnet mask: 255.255.255.0. Default gateway: 10.0.0.1 (chú ý Default Gateway 10.0.0.1 này cũng là IP address của Card Ethernet cua Router ADSL).

Preferred DNS server: 10.0.0.2 và Additional DNS server la địa chỉ mà ISP đã cung cấp cho ADSL Router, ví dụ : 203.162.4.1

Sau đó Right click My Computer, click Properties.

2. Trong System Properties dialog box, click Network Identification tab. Click Properties .

3. Trong Changes dialog box, click More.

4. Trong Primary DNS suffix of this computer text box, điền vào domain name là tên của domain (quantrimang.com) chứa Computer này. Nếu Computer không là thành viên của Domain thì text box sẽ để trống.

Chú ý: Change primary DNS suffix when domain embership changes được enabled theo mặc định. Trong ví dụ hiện tại Computer không phải là thành viên của Domain. Cancel tất cả dialog boxes vừa xuất hiện và không cấu hình primary domain name tại thời điểm này.

5. Restart lại Server

6. Thực hiện tương tự như bước 2, trong Changes, chọn Domain Text box và nhập vào: quantrimang.com. Nhập user và password tương ứng của user administrator.

7. Restart lại server và chọn logon vào domain

Bước kế tiếp tiến hành install Additional domain Controller

1. Click Start và click Run .

2. Trong Run dialog box, đánh lệnh dcpromo trong Open text box và click OK.

3. Click Next trên Welcome to the Active Directory Installation Wizard page.

4. Click Next trên Operating System Compatibility page.

5. Trên Domain Controller Type page, chọn Additional Domain controller for an existing domain option và click Next.

6. Nhập user administrator và password sau đo trong text box domain nhập quantrimang.com

8. Trên NetBIOS Domain Name page (NetBIOS name của Domain nhằm support cho các Windows OS- như các dòng Windows NT và WINDOWS 9x đời cũ, khi các Client này muốn giao dịch với Domain), chấp nhận NetBIOS name mặc định Trong ví dụ này là tuoitre. Click Next.

9. Chấp nhận các xác lập mặc định trên Database and Log Folders page và click Next.

10. Trên Shared System Volume page, chấp nhận vị trí lưu trữ mặc định và click Next.

11. Trên DNS Registration Diagnostics page, chọn I will correct the problem later by configuring DNS manually (Advanced). Click Next.

12. Trên Permissions page, chọn Permissions compatible only with Windows 2000 or Windows Server 2003 operating system option. Click Next.

13. Trên Directory Services Restore Mode Administrator Password page (chế độ phục hồi cho Domain Controller khi DC này gặp phải sự cố, Khi DC offline, vào chế độ troubleshoot này bằng cách Restart Computer, chọn F8), điền vào Restore Mode

Password và sau đó Confirm password. (Các Admin không nên nhầm lẫn Password ở chế độ này với Domain Administrator Password, điều khiển hoạt động của DCs hoặc Domain). Click Next.

14. Trên Summary page, click Next.

15. Bây giờ là lúc Computer cần Restart để các thông số vừa cài đặt Active

16. Click Finish trên Completing the Active Directory Installation Wizard page, hoàn thành việc cài đặt.

17. Click Restart Now trên Active Directory Installation Wizard page.

18. Log-on vào Domain Controller dùng tài khoản Administrator.

Gia nhập máy con vào domain

1. Mở Active Directory User and Computer sau đó tạo các domain user tương ứng

2. Logon vào máy con, và thực thi tương tự như quá trình Tạo thêm 1 Server đồng hành để phòng hờ trường hợp Server chính bị trục trặc.

3. Logon vào domain với domain user đã được tạo ra

Remote destop conection va shutdown máy con từ xa:

Để remote máy con và máy chủ chúng ta làm như sau:

1. Trong computer - properties - remote - chọn enable remote desktop on this computer

2. Sau đó chúng ta có thể logon vào các máy tính đã cho phép remote sử dụng công cụ Remote Desktop Connnection. Nhập địa chỉ IP của máy chủ và máy con và sử dụng user administrator để remote. Sau khi remote thành công chúng ta có thể shutdown máy tính từ xa 1 cách dễ dàng, thông qua tab shutdown trong start menu.

3. Nếu gia tăng thêm số lượng máy con vào domain thì gắn thêm Switch như thế nào để đảm bảo truyền dữ liệu và truy cập internet được tốt nhất?

Khi bạn thêm máy con vào domain thì bạn cần thêm các switch tương ứng, vì mỗi máy cần một port trên swith. Ví dụ bạn có 40 máy thì bạn phải có 2 switch 24 port để đáp ứng cho 40 máy tính kết nối vào.

4. Số lượng máy và đường truyền ADSL với tốc độ thích hợp

Nếu như có nhiều máy trong domain thì bạn chỉ cần thêm switch, còn đường truyền ADSL thì phụ thuộc vào từng nhà cung cấp dịch vụ, bạn có thể chọn ADSL của FPT,

Viettel, VDC... Ngoài ra nếu số lượng máy tính nhiều bạn nên chọn gói ADSL có tốc độ cao nhất. để có thể cho phép các user trong mạng duyệt web, download và upload một cách dễ dàng.Triển Khai Hệ Thống Domain Trên Windows Server 2003 Active Directory

Mô Hình Hệ Thống Trên Windows Server 2000/2003

I - Xây Dựng Windows Server 2003 Active Directory Và Tạo Các Đối Tượng Bằng Dòng Lệnh

Windows Server 2003 là hệ điều hành mạng hòan thiện nhất hiện nay, chúng ta có thể dùng Windows Server 2003 để triển khai các hệ thống Domain Controller quản trị tài nguyên và người dùng cho một công ty hay xây dựng các Web Server mạnh mẽ, tổ chức các File Server lưu trữ dữ liệu, cung cấp các dịch vụ cho người dùng…

Nếu như Windows Server 2003 có thể xem như nhà quản trị tài ba của hệ thống mạng thì Active Directory chính là trái tim của nó, hầu như tất cả mọi hoạt động diễn ra trên hệ thống đều chịu sự chi phối và điều khiển của Active Directory. Từ phiên bản Windows NT4.0 trở về sau, Microsoft đã phát triển hệ thống Active Directory dùng để lưu trữ dữ liệu của domain như các đối tượng user, computer, group … cung cấp những dịch vụ (directory services) tìm kiếm, kiểm soát truy cập, ủy quyền, và đặc biệt là dịch vụ chứng thực được xây dựng dựa trên giao thức Keberos hổ trợ cơ chế single sign-on, cho phép các user chỉ cần chứng thực một lần duy nhất khi đăng nhập vào domain và có thể truy cập tất cả những tài nguyên và dịch vụ chia sẽ của hệ thống vói những quyền hạn hợp lệ.

Với những dịch vụ và tiện ích của mình, Active Directory đã làm giảm nhẹ công việc quản lý và nâng cao hiệu quả hoạt động, những công việc mà hầu như không thể thực hiện được trên một hệ thống mạng ngang hàng, phân tán thì giờ đây chúng ta có thể tiến hành một cách dễ dàng thông qua mô hình quản lý tập trung như đưa ra các chính sách chung cho toàn bộ hệ thống nhưng đồng thời có thể ủy quyền quản trị để phân chia khả năng quản lý trong một môi trường rộng lớn.

Những Thành Phần Chính Của Hệ Thống Active Directory

User : là các tài khoản người dùng, khi cài đặt Active Directory sẽ có một số tài khoản built-in được tạo ra như Administrator là ngừơi có toàn quyền quản trị hệ thống, backup operator là nhóm và người dùng có khả năng backup và restore dữ liệu của hệ thống mà không cần những quyền hạn hợp lệ đôi với những dữ liệu này. Tuy nhiên để các nhân viên trong một tổ chức có thể sử dụng tài nguyên và đăng nhập (log-in) vào domain thì người quản trị cần phải tạo những tài khoản hợp lệ, và cấp phát cho người sử dụng. Các user sẽ dùng những tài khoản được cấp bởi administrator để log-in và domain. Và truy cập dữ liệu trên file server hay các dịch vụ khác..

Group: là một tập hợp của những ngừơi dùng có những đặc tính chung, ví dụ các nhân viên của một phòng ban sale có quyền truy cập lên folder sales trên file server hoặc chúng ta muốn các nhân viên của công ty đều có quyền in đối với laser printer, chúng ta nên tạo group printing và gán quyền in trên laser printer sau đó add tất cả các nhân viên của công ty vào group printing này thay vì gán quyền in cho từng user riêng lẽ sẽ không hiệu quả (các bạn cần chú ý sử dụng group Domain User cho những thao tác chung, mặc định tất cả các user được tạo ra đều thuộc group này).

OU (organization unit): là những đơn vị tổ chức, khi thiết kế một domain thì chúng ta khảo sát hệ thống có bao nhiêu đon vị tổ chức như có bao nhiêu phòng ban, bộ phận. Dựa trên kết quả khảo sát này sẽ tạo những OU tương ứng với chức năng, vị trí như phòng ban Sales sẽ có một OU Sales và trong OU này chứa group sales, group sales sẽ bao gồm tất cả những thành viên của phòng ban sale, và những user này cũng được đặt trong OU Sales cùng với group sales. Như vậy chúng ta cần phải phân biệt rõ group sales và OU Sales, giữa chúng có những khác biệt cơ bản là OU được dùng để quản trị về mặt chính sách như chúng ta muốn tất cả các nhân viên thuộc phòng ban sales trong môi trường thật được cài đât tự động MS OfficeXP hay update những bản vá nào khi đăng nhập hệ thống thì chúng ta phải tương tác qua OU. Nhưng rõ ràng chúng ta không thể quản lý về quyền hạn truy cập của các user này bằng OU, chính vì vậy chúng ta cần phải tạo ra các group và gán quyền thông qua những group này. Đó là những khác biệt cơ bản nhất mà chúng ta cần phân biệt.

Trên đây là 3 đối tượng cơ bản của hệ thống active directory, ngoài ra còn có những thành phần khác như group plicy, site, trusting, global catalog, fsmo..sẽ được trình bày ở những phần tiếp theo.

Trước khi bắt tay vào xây dựng hệ thống domain cho tổ chức của mình, một số lưu ý chúng ta cần quan tâm là: - Cần có ít nhất 2 domain controler là Primary (PDC) và cái còn lại dùng là Backup (BDC) để đáp ứng chức năng load balancing và faultolerant, nếu hệ thống chỉ có một domain controler duy nhất thì phải backup các system state data của Active Directory cẩn thận theo các mức chuẩn (baseline) để có thể phục hồi khi có sữ cố xảy ra hay dùng cho migration (di trú) qua một máy khác khi PDC bị hư hỏng đột xuất.- Hệ thống Active Directory sử dụng DNS cho quá trình phần giải tên các dịch vụ và những thành viên của chúng, vì vậy bắt buộc phải có DNS hợp lệ để Active Directory

họat động chính xác, tên của Domain là gì?Thông thường khi cài đặt active directory có thể chọn cài tích hợp dịch vụ DNS, trong trường hợp đã có sẳn máy chủ DNS thì phải khai báo địa chỉ của dịch vụ này trong phần Prefered DNS và tên của domain là tên của tổ chức như tcdescon.com, security365.org..- Cần phải khảo sát tổ chức có bao nhiêu thành viên (người dùng) tương ứng với số lượng account được tạo trong Acitve Directory, có bao nhiêu bộ phận, phòng ban để tạo ra các OU và Group tương ứng, ngòai ra chúng ta cần xem xét các quyền hạn sử dụng của các đối tượng, khả năng đáp ứng.. để từ đó đưa ra một bản phác thảo đầy đủ cho hệ thống Domain Controller của mình.

Để thực hiện bài Lab này, cần có các máy tính với cấu hình TCP/IP như hình dưới đây, trong đó DC1 là Primay Domain Controller với hệ thống Backup (Secondary Domain Controller) là DC2 tất cả đều sử dụng Windows Server 2003. Client1 có thể dùng Windows XP hoặc Windows 2000.

Hệ Thống Domain Controler Và Địa Chỉ IP (Click vào ảnh để phóng to)

1- Tiến hành cài đặt tự động Active Directory trên DC1 theo phương pháp Unattend

Để thăng cấp một Windows Server 2003 Standalone lên thành Domain Controller chúng ta sử dụng lệnh dcpromo và sau đó cung cấp đầy đủ tên domain, vai trò và vị trí cài đặt..Trong phần này các bạn hãy log-in vào DC1 bằng tài khỏan Administrator và tạo tập

tin như đưới đây, hãy thay tên domain security365 bằng tên domain của bạn cũng như các thông tin về Password hay SafeModeAdminPassword tương ứng , các bạn có thể chọn cài cùng lúc DNS bằng cách xác định AutoConfigDNS = Yes, nếu muốn hệ thống reboot lại sau khi cài đặt hãy đặt giá trị RebootOnSuccess = Yes

[DCInstall]RebootOnSuccess = NoDatabasePath = %SYSTEMROOT%\NTDSLogPath = %SYSTEMROOT%\NTDSSysVolPath = %SYSTEMROOT%\SysvolUserName = administratorPassword = PasswordReplicaorNewDomain = DomainTreeOrChild = TreeCreateOrJoin = CreateNewDomainDNSName = security365.orgDNSOnNetwork = NoDomainNetBiosName = SECURITY365AllowAnonymousAccess = NoAutoConfigDNS = YesSiteName = Default-First-Site-NameSafeModeAdminPassword = netmanager

Lưu tập tin trong ở C:\ với tên là dcinfo.txt

Sau đó chạy lệnh dcpromo /answer:C:\dcinfo.txt

Restart lại hệ thống khi tiến trình cài đặt hòan tất, tiêp theo chúng ta cần tạo ra những tài khỏan người dùng cùng với những Group, OU tương ứng theo các phòng ban như hình sau đây dựa trên mô hình thực tế của công ty có 2 chi nhánh CA và NC, mỗi chi nhánh có các bộ phận Marketing, Accountign và Sales.

2- Tạo cấu trúc OU với dsadd ou:

Có nhiều cách để tạo ra các đối tượng trên Active Directory như OU, Group, User..Các bạn có thể dùng giao diện đồ họa Active Directory Users and Computers console sau đó click chuột phải vào Domain Name (ví dụ security365.com) và chọn những thao tác tương ứng. Ở đây chúng ta sử dụng một phương pháp ít thông dụng hơn dựa trên dòng lệnh, điều này sẽ rất thuận tiện khi muốn xây dựng hệ thống một cách tự động.Để tạo một OU mới hãy sử dụng dòng lệnh dsadd ou:

Dsadd ou “OU=NC,DC=security365,DC=com”Dsadd ou “OU=CA,DC=security365,DC=com”Dsadd ou “OU=Marketing,OU=NC,DC=security365,DC=com”Dsadd ou “OU=Accounting,OU=NC,DC=security365,DC=com”Dsadd ou “OU=Sales,OU=NC,DC=security365,DC=com”

Dsadd ou “OU=Marketing,OU=CA,DC=security365,DC=com”Dsadd ou “OU=Accounting,OU=CA,DC=security365,DC=com”Dsadd ou “OU=Sales,OU=CA,DC=security365,DC=com”

Có thể dùng tập tin bat để tiến hành tự dộng quá trình trên, với OU là tên của OU được tạo, DC là tên của domain lưu ý nên tạo tuần tự các bước.

3. Tạo User Với dsadd user:

Chúng ta có thể tạo tài khỏan người dùng với dsadd user, ví dụ sau sẽ tạo ra tài khỏan cho Nguyen Tran Duy Vinh thuộc phòng ban Sales : - tên đăng nhập vinhndt, mật mã đăng nhập 123qwe!@#- thuộc bộ OU Sales

- first name là nguyen tran duy- last name là vinh- tên upn là ntdvinh@security365.com- để tài khỏan có thể sử dụng được ngay hãy đặt –disable no

dsadd user “CN=vinhndt,OU=Sales,OU=CA,DC=security365,DC=com ” –upnvinhndt@security365.com –fn nguyen tran duy –ln vinh –pwd 123qwe!@# –disabled no

3.Tạo Group với dsadd group:

Các user trong mỗi phòng ban thường có những đặc tínhchung như quyền hạn truy cập vào tài nguyên chia sẽ của bộ phận, khả năng sử dụng máy in…Vì vậy hãy tạo ra các nhóm người dùng (Group) sau đó add những user vào. Chúng ta có thể thực hiện điều này với dòng lệnh dsadd group. Ví dụ sau đây sẽ tạo một gourp có tênlà Consultants (CN) trong OU Marketing của domain Security365.Com, group type là security và group scope là global.Dsadd group “CN=Consultants,OU=Marketing,OU=CA,DC=security36 5,DC=com”–secgrp yes –scope g

Ghi Chú: Có hai lọai group trong active directory là security và distribution. Hầu hết các group chúng ta tạo ra và sử dụng đề thuộc lọai security goup. Distribution group chỉ được dùng cho quá trình họat động của các ứng dụng như Exchange Server, và các bạn không thê gán quyền truy cập đối với lọai group này. Ngòai ra các group đươc chia làm 3 lọai group scope là Global, Universal và Local. Với Local Group các thành viên chỉ có thể truy cập những tài nguyên trên domain nội bộ. Khi hệ thống có nhiều domain, để user có thể truy cập tà nguyên ở các domain khác thì chúng phải là thành viên của Global hay Universal Group.

4.Add User vào Group Với Dsmod:

Để Add User Nguyen Tran Cat Vinh là thành viên của group Consultant trong OU Marketing (là OU con của CA) cho domain Security365.Com ta sử dụng lệnh sau :

Dsmod group “CN=Consultants,OU=Marketing,OU=CA,DC=security36 5,DC=com” –addmbr “CN=vinhntc,OU=Marketing,OU=CA,DC=security365,DC =com”

Trong những trường hợp quản trị từ xa hay cần tạo ra nhiều đối tượng cùng lúc cho hệ thống cách tốt nhất là sử dụng các tiện ích dòng lệnh. Cách thức quản trị Active Directory thông qua giao diện đồ họa như Active Directory Users and Computer các bạn có thể tham khảo ở trang web www.microsoft.com, mọi thắc mắc gởi đến mục HelpDesk trang web www.security365.org, Công ty Giải Pháp An Tòan.

II – Join Máy Tính Client1 Vô Domain

Sau khi cài đặt và cấu hình xong hệ thống Active Directory chúng ta cần join các clien vào domain để có thể quản lý, cấp quyền truy cập, sử dụng tài nguyên cho người sử dụng. Hãy log-in vào Client1 với quyền Administrator và click chuột phải vào My Computer chọn Properties:

Trên tab Computer (Network Identification) hãy nhấn Change hoặc Properties tùy thuộc vào hệ điều hành Client1 sử dụng là Windows XP hay Windows 2000Tiếp theo và nhập vào thông tin sau:

Nhấn OK, một hộp thọai yêu cầu thông tin Username & Password sẽ hiển thị, hãy nhập vào tài khỏan hợp lệ ví dụ Administrator và nhấn OK để hòan tất quá trình join domain.

III – Cài Đặt Secondary Domain Controler:

Đối với các hệ thống mạng lớn có nhiều user, chúng ta nên triển khai thêm các secondary domain controler (hay còn gọi là Backup Domain Controler-BDC) để tăng cường khả năng đáp ứng yêu cầu truy cập của user và khi primary domain controler gặp phải những sự cố thì hệ thống vẫn có thể họat động bình thường nhờ vào secondary domain controler này, ngòai ra chúng ta còn có thể phục hồi cơ sở dữ liệu của Active Directory trên PDC. Cả hai hệ thống Domain Controler này đề chứa cùng một cơ sở dữ liệu của domain như user, group policy, ou…và khi dữ liệu trên một domain controller này thay đổi sẽ được tự động replicate (sao chép) sang những domain controler còn lại, tiến trình này diễn ra hòan tòan tự động do dịch vụ KCC (knowledge consistent checker) của hệ thống đảm nhiệm. Tuy nhiên trong những trường hợp đặc biệt các bạn có thể tiến hành replicate ngay lập tức. Sau đây là các bước xây dựng secondary domain controller:

Join máy tính DC2 vào domain và log-in bằng tài khỏan Administrator. Mở Start - > Run và chạy lệnh dcpromo

Trên màn hình cài đặt tiếp theo chúng ta chọn mục Additional domain controller for an existing domain và nhấn Next. Ở cữa sổ Network Credential hãy nhập vào tài khỏan Administrator, Password của domain và chọn Next:

Tiếp theo chương trình sẽ hỏi tên của domain mà DC2 sẽ làm secondary domain controller (trong ô additional domain controller). Tên này sẽ tự hiển thị nếu như DC2 là thành viên của Domain. Nếu các bạn tiến hành thăng cấp không qua bước join DC2 vô domain thì phải nhập tên Domain đầy đủ như security365.com. Một điều cần lưu ý là phải cấu hình địa chỉ DNS cho domain trong phần Prefered DNS, vì đa số các sự cố và lỗi khi thăng cấp một secondary domain controller cũng như trong qua trình họat động của Active Directory đều liên quan đến việc cấu hình địa chỉ DNS server không chính xác làm cho quá trình phân giải tên các máy chủ và các dịch vụ không tiến hành được.Sau đó hãy chấp nhận giá trị mặc định về vị trí cài đặt, lưu trữ database của active directory cũng như sysvol folder. Nếu muốn thay đổi các thông số này sau khi cài đặt hãy dùng công cụ NTDSUTIL.

Cuối cùng một bảng tóm tắt các thông tin của secondary domain controller hiển thị, hãy kiểm tar lại và nhấn Next để tiến trình cài đặt diễn ra, sau khi hòan tất hãy restart lại hệ thống DC2.

Như vậy chúng ta đã xây dựng xong hệ thống active directory cho domain security365.com với một primary và một secondary domain controler, lúc này các máy tính client trên hệ thống có thể join domain với những tài khỏan hợp lệ để thực hiện công việc của mình.

Triển khai hệ thống IPSec/VPN trên Windows Server 2003 Nhu cầu truy cập từ xa (ngoài văn phòng) mạng nội bộ để trao đổi dữ liệu hay sử dụng ứng dụng ngày càng phổ biến. Đây là nhu cầu thiết thực, tuy nhiên do vấn đề bảo mật và an toàn thông tin nên các công ty ngại "mở" hệ thống mạng nội bộ của mình để cho phép nhân viên truy cập từ xa. Bài viết này trình bày giải pháp truy cập từ xa VPN trên Windows Server 2003 có cơ chế mã hóa dựa trên giao thức IPSec nhằm đảm bảo an toàn thông tin.

VPN

VPN (virtual private network) là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí. Trước đây, để truy cập từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote Access quay số dựa trên mạng điện thoại. Phương thức này vừa tốn kém vừa không an toàn. VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu.

Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel. Để bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ này, các gói tin được mã hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa trường hợp "trộm" gói tin trên đường truyền.

Các tình huống thông dụng của VPN:

- Remote Access: Đáp ứng nhu cầu truy cập dữ liệu và ứng dụng cho người dùng ở xa, bên ngoài công ty thông qua Internet. Ví dụ khi người dùng muốn truy cập vào cơ sở dữ liệu hay các file server, gửi nhận email từ các mail server nội bộ của công ty.

- Site To Site: Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau. Ví dụ một công ty đa quốc gia có nhu cầu chia sẻ thông tin giữa các chi nhánh đặt tại Singapore và Việt Nam, có thể xây dựng một hệ thống VPN Site-to-Site kết nối hai site Việt Nam và Singapore tạo một đường truyền riêng trên mạng Internet phục vụ quá trình truyền thông an toàn, hiệu quả.

- Intranet/ Internal VPN: Trong một số tổ chức, quá trình truyền dữ liệu giữa một số bộ phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác truy cập. Hệ thống Intranet VPN có thể đáp ứng tình huống này.

Để triển khai một hệ thống VPN chúng ta cần có những thành phần cơ bản sau đây:

- User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho phép người dùng hợp lệ kết nối và truy cập hệ thống VPN.

- Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ.

- Data Encryption: cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu.

- Key Management: cung cấp giải pháp quản lý các khoá dùng cho quá trình mã hoá và giải mã dữ liệu.

IPSEC (IP SECURITY PROTOCOL)

Như chúng ta biết, để các máy tính trên hệ thống mạng LAN/WAN hay Internet truyền thông với nhau, chúng phải sử dụng cùng một giao thức (giống như ngôn ngữ giao tiếp trong thế giới con người) và giao thức phổ biến hiện nay là TCP/IP.

Khi truyền các gói tin, chúng ta cần phải áp dụng các cơ chế mã hóa và chứng thực để bảo mật. Có nhiều giải pháp để thực hiện việc này, trong đó cơ chế mã hóa IPSEC hoạt động trên giao thức TCP/IP tỏ ra hiệu quả và tiết kiệm chi phí trong quá trình triển khai.

Trong quá trình chứng thực hay mã hóa dữ liệu, IPSEC có thể sử dụng một hoặc cả hai giao thức bảo mật sau:

- AH (Authentication Header): header của gói tin được mã hóa và bảo vệ phòng chống các trường hợp "ip spoofing" hay "man in the midle attack", tuy nhiên trong trường hợp này phần nội dung thông tin chính không được bảo vệ

- ESP (Encapsulating Security Payload): Nội dung thông tin được mã hóa, ngăn chặn các trường hợp hacker đặt chương trình nghe lén và chặn bắt dữ liệu trong quá trình truyền. Phương thức này rất hay được áp dụng, nhưng nếu muốn bảo vệ luôn cả phần header của gói tin thì phải kết hợp cả 2 giao thức AH và ESP.

IPSec/VPN trên Windows Server 2003

Chúng ta tham khảo tình huống thực tế của công ty Green Lizard Books, một công ty chuyên xuất bản và phân phối văn hoá phẩm. Nhằm đẩy mạnh hiệu quả kinh doanh, bộ phận quản lý muốn các nhân viên kinh doanh trong quá trình công tác ở bên ngoài có thể truy cập báo cáo bán hàng (Sale Reports) chia sẻ trên File Server và có thể tương tác với máy tính của họ trong văn phòng khi cần thiết. Ngoài ra, đối với các dữ liệu mật, nhạy cảm như báo cáo doanh số, trong quá trình truyền có thể áp dụng các cơ chế mã hóa chặt chẽ để nâng cao độ an toàn của dữ liệu.

Green Lizard Books cần có một đường truyền ADSL với địa chỉ IP tĩnh phục vụ cho quá trình kết nối và truyền thông giữa trong và ngoài công ty. Các người dùng ở xa (VPN Client) sẽ kết nối đến VPN Server để gia nhập hệ thống mạng riêng ảo của công ty và được cấp phát địa chỉ IP thích hợp để kết nối với các tài nguyên nội bộ của công ty.

Chúng ta sẽ dùng 1 máy Windows Server 2003 làm VPN Sever (đặt tên là SRV-1), có 1 card mạng kết nối với hệ thống mạng nội bộ (IP: 192.168.1.1) và một card ADSL (IP tĩnh, nếu dùng IP động thì phải sử dụng kết hợp với các dịch vụ Dynamic DNS như DtnDNS.Org hay No-IP.Com) để kết nối với bên ngoài (Internet).

Để quản lý người dùng trên hệ thống và tài nguyên chúng ta cần có 1 domain controler cài đặt trên Windows Server 2003 tên là SRV-11 (IP: 192.168.0.11).

Trong mô hình này, chúng ta sử dụng một máy client bên ngoài chạy hệ điều hành Windows XP, kết nối VPN với cơ chế chứng thực và mã hóa dữ liệu dựa trên IPSec ESP.

Ở đây tôi chỉ trình bày những buớc chính trong quá trình triển khai, chi tiết cài đặt và cấu hình các bạn có thể tham khảo các tập tin video (.avi) tải về ở website www.pcworld.com.vn.

Bước 1: Tạo domain controler

(dcpromo-srv-11-greenlizardbooks-domain-controller.avi)

Bước 2: Đưa SRV-1 (VPN Server) vào domain

(join_srv-1_server_to_domain.avi)

Bước 3: cài đặt VPN Server trên SRV-1

(install_vpn_server_on_srv-1.avi)

Bước 4: Thiết lập VPN Client Client-1 kết nối đến VPN Server

(create_vpn_client_1_and_connect_to_srv-1_vpn_server.avi)

Bước 5: Kết nối VPN Client Client-1 vào domain

(join-vpn-client-1-to-greenlizardbooks_domain.avi)

Bước 6: Yêu cầu cấp phát chứng chỉ điện tử (certificate) cho VPN Server và Client dùng để chứng thực và mã hóa.

(request_certificate_for_vpn_server_and_client.avi)

Bước 7: Thiết lập kết nối VPN dùng giao thức L2TP/IPSEC

(establish_L2TP_VPN_connection.avi)

KẾT LUẬN

VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối an toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông qua mạng Internet. Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm được tính riêng tư của dữ liệu giống như đang truyền thông trên một hệ thống mạng riêng. Giải pháp VPN "mềm" giới thiệu trong bài viết này thích hợp cho số lượng người dùng nhỏ, để đáp ứng số lượng người dùng lớn hơn, có thể phải cần đến giải pháp VPN phần cứng.

TUNNELINGTunneling là kỹ thuật sử dụng một hệ thống mạng trung gian (thường là mạng Internet) để truyền dữ liệu từ mạng máy tính này đến một mạng máy tính khác nhưng vẫn duy trì được tính riêng tư và toàn vẹn dữ liệu. Dữ liệu truyền sau khi được chia nhỏ thành những frame hay packet (gói tin) theo các giao thức truyền thông sẽ được bọc thêm 1 lớp header chứa những thông tin định tuyến giúp các packet có thể truyền qua các hệ thống mạng trung gian theo những đường riêng (tunnel). Khi packet được truyền đến đích, chúng được tách lớp header và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối tunnel, máy client và server phải sử dụng chung một giao thức (tunnel protocol).

- PPTP (Point-to-Point Tunneling Protocol): PPTP có thể sử dụng cho Remote Access hay Site-to-Site VPN. Những thuận lợi khi áp dụng PPTP cho VPN là không yêu cầu certificate cho quá trình chứng thực và client có thể đặt phía sau NAT Router.

- L2TP (Layer 2 Tunneling Protocol): L2TP là sự kết hợp của PPTP và Layer 2 Forwading (L2F, giao thức được phát triển bởi Cisco System). So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn hơn.

Trên hệ thống Microsoft, L2TP được kết hợp với IPSec Encapsulating Security Payload (ESP) cho quá trình mã hóa dữ liệu, gọi là L2TP/IPSec. Sự kết hợp này không chỉ cho phép chứng thực đối với người dùng PPTP mà còn cho phép chứng thực đối với các máy

tính thông qua các chứng chỉ, nâng cao hơn độ an toàn của dữ liệu khi truyền, và quá trình tunnel có thể diễn ra trên nhiều hệ thống mạng khác nhau. Tuy nhiên trong môi trường L2TP/IPSec các VPN Client không thể đặt phía sau NAT Router. Trong trường hợp này chúng ta cần phải có VPN Server và VPN Client hỗ trợ IPSec NAT-T.

Sử dụng bảo mật sẵn có trong Windows Server 2003 Đây là một trong số các bài hướng dẫn từng bước đơn giản dễ hiểu của phần trợ giúp Microsoft cung cấp cho người dùng. Bài này mô tả cách thức áp dụng các mẫu bảo mật được định nghĩa sẵn trong Windows Server 2003 như thế nào. Microsoft Windows Server 2003 cung cấp một số mẫu bảo mật giúp bạn tăng cường mức an toàn cho mạng của mình. Bạn có thể chỉnh sửa chúng cho phù hợp với yêu cầu riêng bằng cách dùng thành phần Security Templates trong Microsoft Management Console (MMC).

Các mẫu bảo mật định nghĩa sẵn trong Windows Server 2003 Bảo mật mặc định (Setup security.inf)

Setup security.inf được tạo ra trong quá trình cài đặt và riêng biệt cho từng máy tính. Mỗi máy tính có một kiểu Setup security.inf khác nhau tuỳ thuộc chương trình cài đặt là hoàn toàn mới từ ban đầu hay là bản nâng cấp. Nó thể hiện các thiết lập bảo mật mặc định được ứng dụng trong quá trình cài đặt của hệ điều hành, gồm cả đặc quyền file cho thư mục gốc của ổ hệ thống. Mẫu bảo mật này có thể được dùng cho cả máy chủ và máy khách nhưng không thể dùng áp dụng cho bộ điều khiển tên miền. Bạn cũng có thể dùng các phần của mô hình mẫu này cho hoạt động phục hồi nếu có trường hợp rủi ro xuất hiện.

Không áp dụng Setup security.inf bằng cách sử dụng Group Policy vì điều này có thể làm giảm tốc độ thực thi hệ thống.

Chú ý: Trong Microsoft Windows 2000 có hai mẫu bảo mật hỗn hợp cùng tồn tại: ocfiless (cho các server file) và ocfilesw (cho các workstation). Trong Windows Server 2003, cả hai file này được thay thế bởi file Setup security.inf.

Bảo mật mặc định cho bộ điều khiển tên miền (DC security.inf)

Mẫu này tạo ra khi server được tăng cấp lên bộ điều khiển tên miền. Nó ánh xạ các thiết lập bảo mật mặc định file, thanh ghi và dịch vụ hệ thống. Nếu bạn áp dụng lại mô hình này, các thiết lập sẽ được đặt ở giá trị mặc định. Tuy nhiên kiểu mẫu này có thể ghi đè đặc quyền lên các file, khoá thanh ghi và dịch vụ hệ thống mới do chương trình khác tạo ra.

Tương thích (Compatws.inf)

Mẫu này thay đổi các quyền của file và thanh ghi được cấp phát cho thành viên của nhóm Users, nhất quán với yêu cầu của hầu hết chương trình không nằm trong Windows Logo Program for Software. Mẫu Compatible cũng loại bỏ tất cả thành viên của nhóm Power Users.

Để biết thêm thông tin về Windows Logo Program for Software, bạn có thể tham

khảo tại website của Microsoft:

http://www.microsoft.com/winlogo/default.mspx

Chú ý: Không được áp dụng mẫu Compatible cho bộ điều khiển tên miền. Bảo mật (Secure*.inf)

Mẫu Secure định nghĩa các thiết lập bảo mật nâng cao ít nhất ảnh hưởng tới độ tương thích của chương trình. Ví dụ như định nghĩa mật khẩu, chế độ lockout và các thiết lập kiểm toán mạnh hơn. Thêm vào đó, các khuôn mẫu này còn giới hạn việc sử dụng chương trình quản lý mạng cục bộ LAN Manager và các giao thức thẩm định NTLM bằng cách cấu hình client chỉ gửi phần trả lời NTLMv2 và cấu hình server từ chối trả lời LAN Manager.

Có hai kiểu mô hình bảo mật dựng sẵn trong Windows Server 2003: Securews.inf cho các trạm làm việc và Securedc.inf bộ điều khiển tên miền. Để biết thêm thông tin về cách dùng các mẫu mô hình này và một số mẫu bảo mật khác, bạn có thể tìm kiếm trong phần trợ giúp Help and Support Center của Microsoft với từ khoá "predefined security templates" (các mẫu bảo mật định nghĩa sẵn).

Bảo mật cao (hisec*.inf)

Highly Secure mô tả chi tiết các giới hạn bổ sung chưa được định nghĩa trong Secure, chẳng hạn như mức mã hoá và ký hiệu cần thiết cho việc thẩm định và trao đổi dữ liệu qua kênh bảo mật, giữa client và server Server Message Block (SMB).

Bảo mật thư mục gốc hệ thống (Rootsec.inf)

Mẫu này đặc tả các quyền của thư mục gốc (root). Mặc định, Rootsec.inf định nghĩa quyền hạn cho file gốc của ổ hệ thống. Bạn có thể dùng mô hình này để áp dụng lại các đặc quyền thư mục gốc nếu chúng bị thay đổi ngẫu nhiên. Hoặc bạn có thể chỉnh sửa mô hình mẫu này để áp dụng các quyền hạn gốc giống nhau cho nhiều bộ khác. Mẫu này không ghi đè các quyền tường minh được định nghĩa ở các đối tượng con; nó chỉ sao chép các quyền đã được thừa kế ở các đối tượng con đó.

Mẫu không có SID cho người dùng Server Terminal (Notssid.inf)

Bạn có thể áp dụng mẫu này để loại bỏ bộ định dạng bảo mật (SID) Windows Terminal Server khỏi hệ thống file và các vị trí thanh ghi khi dịch vụ đích (Terminal Services) không chạy. Sau khi bạn thực hiện điều này, bảo mật hệ thống sẽ không được cải thiện đầy đủ một cách cần thiết.

Để biết thêm thông tin chi tiết về tất cả mô hình mẫu định nghĩa sẵn trong Windows Server 2003, bạn có thể tìm kiếm trong phần trợ giúp Help and Support Center của Microsoft với từ khoá "predefined security templates".

Chú ý quan trọng: Thực thi một mô hình mẫu bảo mật trên bộ điều khiển tên miền có thể thay đổi các thiết lập của thành phần Default Domain Controller Policy hoặc Default Domain Policy. Mô hình mẫu được sử dụng có thể ghi đè quyền hạn lên các file mới, các khoá thanh ghi và dịch vụ hệ thống do chương trình khác tạo ra. Sau khi sử dụng mô hình bảo mật mẫu, có thể bạn sẽ phải khôi phục lại "chính sách" cũ. Trước khi thực hiện một số bước sau trên bộ điều khiển tên miền, hãy tạo bản sao lưu của file chia sẻ SYSVOL.

Sử dụng một mẫu bảo mật 1. Vào Start, chọn Run, gõ mmc lên ô lệnh và bấm OK. 2. Trong menu File, kích lên Snap-in Add/Remove. 3. Chọn Add. 4. Trong danh sách Available Stand Alone Snap-ins, chọn Security

Configuration and Analysis, bấm Add > Close và cuối cùng là OK. 5. Ở ô bên trái, kích vào Security Configuration and Analysis và xem hướng dẫn ở

khung bên phải. 6. Kích phải chuột lên Security Configuration and Analysis, chọn Open

Database. 7. Trong hộp tên File, gõ tên file dữ liệu rối kích vào Open. 8. Kích vào mẫu bảo mật bạn muốn dùng, sau đó bấm lên Open để nhập thông tin

nằm trong mẫu vào cơ sở dữ liệu. 9. Kích phải chuột lên Security Configuration and Analysis ở khung bên trái rồi

chọn Configure Computer Now.

Kích hoạt và cấu hình Remote Desktop for Administration trong Windows Server 2003 Bạn ở xa nhưng lại cần truy cập vào máy máy chủ trong công ty như là đang ngồi trên máy? Bài hướng dẫn sẽ từng bước hướng dẫn kích hoạt và cấu hình Remote Desktop for Administration trong Microsoft Windows Server 2003. Sau khi kích hoạt và cấu hình xong, bạn có thể truy cập vào máy chủ tại bất cứ nơi đâu có kết nối Internet như là đang sử dụng trực tiếp trên máy vậy.

Windows Server 2003 Terminal Services bao gồm hai thành phần sau:

Remote Desktop for Administration (Công cụ quản trị máy tính từ xa)

Với Remote Desktop for Administration các quản trị viên có thể quản lý từ xa server dựa trên nền tảng Microsoft Windows 2000 và Windows Server 2003 từ bất kỳ client Terminal Services nào. Phục vụ cho mục đích thuyết trình và hợp tác, hai quản trị viên có thể chia sẻ một phiên làm việc. Ngoài ra quản trị viên còn có thể kết nối từ xa tới console thực của một server bằng cách dùng lệnh -console.

Chú ý: o Bạn không cần phải có bản quyền truy cập Client Terminal Server khi

dùng Remote Desktop for Administration. Tuy nhiên chỉ có các thành viên của nhóm quản trị mới có thể truy cập vào server.

o Mặc định Remote Desktop for Administration được cài cùng lúc với Windows Server 2003, nhưng được để ở chế độ không hoạt động vì một số lý do bảo mật.

Terminal Server

Terminal Server cho phép nhiều client từ xa truy cập đồng thời tới các chương trình xây dựng trên nền tảng Windows chạy trên server cùng một lúc. Đây là hình thức triển khai Terminal Server thông thường.

Khi sử dụng mô hình Terminal Server, nhiều kết nối đồng thời do người dùng không thuộc nhóm quản trị (administrator) truy cập đến vẫn được chấp nhận. Bạn cũng có thể cài đặt dịch vụ Terminal Services Licesing trên bất kỳ server thành viên nào. Tuy nhiên bạn phải cấu hình một server có bản quyền trên tất cả server đích. Server này phải liên hệ với các server bản quyền không có bộ điều khiển tên miền nhưng được cấu hình như một server bản quyền tên miền. Server bản quyền tên miền doanh nghiệp được triển khai trên các bộ điều khiển không tên miền được phát hiện một cách tự động.

Trước khi sử dụng indows Server 2003 Terminal Services, các bạn nên xem lại một số thuật ngữ sau:

Server (máy chủ) Server là máy chủ, nơi chứa hầu hết tài nguyên máy tính. Server được dùng trong môi trường mạng Terminal Services. Server nhận và thực hiện thông tin từ bàn phím và chuột ở client. Sau đó hiển thị màn hình và các chương trình đang chạy trên server trong một cửa sổ ở máy client.

Messaging (truyền tin) Messaging là hoạt động liên lạc giữa server (máy chủ) và client (máy khách) thông qua Remote Desktop Protocol (RDP) 5.2. RDP là giao thức tầng chương trình dựa trên TCP/IP.

Client (máy khách) Máy để bàn từ xa đang chạy trên server được hiển thị trong một cửa sổ trên máy client. Khi khởi động một chương trình trên máy khách, thực tế các chương trình này đang chạy trên máy chủ. Remote Desktop Connection là tên được đặt cho

client Terminal Services trong Windows 2000. Remote Desktop Connection sử dụng những cải tiến mới nhất của RDP 5.2, cung cấp khả năng nâng cao đáng kể so với các phiên bản trước đó. Remote Desktop Connection có thể được dùng để kết nối với các phiên bản cũ hơn của Terminal Services.

Sử dụng Remote Desktop for Administration

Mặc định, Remote Desktop for Administration được để ở chế độ không hoạt động. Muốn sử dụng nó, thực hiện theo các bước sau:

1. Vào Start > Control Panel > System.2. Kích vào tab Remote, chọn Allow users to connect remotely to your computer

(Cho phép người dùng kết nối từ xa tới máy tính của bạn) và kích OK.

Chú ý: Bạn không cần phải có Bản quyền truy cập client Terminal Server khi sử dụng Remote Desktop for Administration. Con số lớn nhất hai kết nối đồng thời được cho phép tự động trên server cuối khi Remote Desktop for Administration hoạt động.

Thay đổi mức mã hoá phiên

Mặc định mức mã hoá các phiên Terminal Services được thiết lập cho Client Compantible nhằm cung cấp mức mã hoá cao nhất hỗ trợ bởi client. Các thiết lập khác có thể sử dụng là:

High - thiết lập này cung cấp khả năng bảo mật hai chiều sử dụng cơ chế mã hoá 128-bit.

Low - thiết lập này sử dụng cơ chế mã hoá 56 bit. FIPS Compliant: tất cả dữ liệu được mã hoá bằng cách sử dụng các phương thức

hợp lệ Federal Information Processing Standard 140-1.

Để kiểm tra mức mã hoá, thực hiện theo các bước sau: 1. Vào Start > All Programs > Administrative Tools > Terminal Services

Configuration.2. Ở khung bên trái, kích chọn Connections.3. Ở khung bên phải, kích phải chuột lên RDP-tcp rồi chọn Properties.4. Chọn General tab, chọn mức mã hoá bạn muốn trong danh sách Encryption rồi

bấm OK.

Gỡ lỗi và sửa chữa

Nếu Terminal Services không ổn định, hãy kiểm tra lại địa chỉ IP. Các vấn đề có thể xuất hiện khi bạn cung cấp địa chỉ IP không hợp lệ. Nếu một chương trình chạy không như mong đợi, bạn có thể xem xét các vấn đề sau:

Các chương trình có file khoá hoặc DLL không chạy chính xác. Vấn đề này xuất hiện khi có nhiều người dùng sử dụng cùng một lúc một chương trình nào đấy.

Các chương trình sử dụng tên máy tính hoặc địa chỉ IP vào mục đích kiểm định có thể gặp sự cố. Vấn đề này xuất hiện khi nhiều người dùng cùng một lúc chạy chương trình khi dùng chung tên máy tính hoặc địa chỉ IP.

Để biết thêm thông tin về Windows Server 2003 Terminal Services, bạn có thể tìm trong Help and Support Center, dùng từ khoá "Terminal Services".

Kết nối và theo dõi Console Session với Windows Server 2003 Terminal ServicesBài này mô tả cách sử dụng Windows Server 2003 Terminal Services để kết nối và theo dõi một phiên điều khiển (Console Session).

Trong Windows Server 2003, khi dùng Terminal Services, bạn có thể kết nối tới session điều khiển (session 0) và cùng lúc có thể mở phiên theo dõi tới nó (cho đến khi nào bạn kết nối từ một phiên khác ngoài cosole). Với tính năng bổ sung này, bạn có thể đăng nhập vào server sử dụng Windows Server 2003 đang chạy Terminal Services từ xa và tương tác với session 0 như thể đang ngồi trước máy vậy. Session này có thể được theo dõi để người dùng từ xa và người dùng cục bộ có thể thấy và tương tác trong cùng một phiên.

Kết nối tới Console Session như thế nào

Khi bạn kết nối tới Console Session của server sử dụng Windows Server 2003, không có người dùng nào khác được kết nối tới nó nữa. Nếu một người nào đó đã đăng nhập vào rồi, bạn chỉ có thể đăng nhập và sử dụng máy nếu bạn đang trực tiếp ngồi tại máy.

Muốn kết nối máy tính từ xa sử dụng hệ điều hành Windows Server 2003, mở cửa sổ lệnh Command Prompt rồi gõ lệnh sau: mstsc -v:servername /F -console Trong đó: mstsc: file thực thi kết nối Remote Desktop. -v: server sẽ kết nối tới. /F: kiểu toàn bộ màn hình. -console: lệnh kết nối tới Console Session. Để sử dụng lệnh này, bạn mở Remote Desktop. Sau khi thông tin đăng nhập đã được thẩm định, bạn sẽ kết nối tới phiên hoạt động đang chạy Windows Server 2003. Nếu có người dùng nào đó khác hiện đang làm việc trên máy này, bạn nhận được thông báo lỗi sau: The user domain\username is logged locally on to this computer. The user has been idled for number minutes. The desktop is unlocked. If you continue, this user's session will end and any unsaved data will be lost. Do you want to continue? (Domain hoặc username của người dùng đã được đăng nhập cục bộ vào máy tính này. Người dùng tạm chờ một vài phút. Desktop không bị khoá. Nếu bạn tiếp tục, phiên hoạt động của người dùng này sẽ kết thúc và bất kỳ dữ liệu không được ghi lại nào sẽ bị mất. Bạn có muốn tiếp tục?). Người sử dụng hiện tại sẽ bị log off và bạn nhận được một thông báo trạng thái hiện thời của máy tính là bị khoá và chỉ có quản trị viên (administrator) mới có thể mở khoá được.

Chú ý: Nếu người dùng Console Session và Terminal Services giống nhau, bạn có thể kết nối mà không gặp phải vấn đề gì.

Theo dõi Console Session

Để theo dõi console session, đầu tiên bạn mở một kết nối Remote Desktop tới server sử dụng Windows Server 2003 từ máy tính khác. Mặc định tiện ích Remote Desktop Connection trong Windows Server 2003 được cài đặt trong tất cả mọi phiên bản của Windows Server 2003. Bạn có thể dùng nó hoặc tiện ích dòng lệnh Mstsc được mô tả trong phần trên nhưng bỏ qua biến đổi -console. Tiếp theo, khởi động màn hình lệnh Command Prompt trong máy và gõ lệnh sau để bắt đầu theo dõi Console Session: shadow 0 Sau khi nhập và gửi lệnh này, bạn nhận được thông báo sau: Your session may appear frozen while the remote control approval is being negotiated. Please wait... (Phiên hoạt động của bạn có thể tạm ngưng khi yêu cầu điều khiển từ xa đang được xem xét. Xin chờ một chút…). Trong Console Session trên server, bạn nhận được thông báo sau: domain\username is requesting to control your session remotely. Do you accept the request? (Tên miền hay người dùng đang yêu cầu điều khiển phiên hoạt động của bạn từ xa. Bạn có chấp nhận yêu cầu này không?) Nếu người dùng kích vào Yes, bạn được kết nối tự động tới phiên hoạt động của mình trên server sử dụng Windows Server 2003 từ xa. Nếu người dùng kích vào No hoặc không trả lời, bạn nhận được thông báo lỗi sau tại màn hình lệnh Command Prompt trên máy tính từ xa:

Remote control failed. Error code 7044 Error [7044]:The request to control another session remotely was denied. (Điều khiển từ xa lỗi. Mã lỗi 7044 Lỗi [7044]: Yêu cầu điều khiển từ xa tới phiên hoạt động khác bị từ chối) Để ngắt kết nối tới phiên theo dõi ở máy từ xa, ấn Ctrl + * (ở hàng phím số). Phiên hoạt động ban đầu thiết lập tới server chạy Windows Server 2003 được trả lại.

Nếu bạn đăng nhập vào điều khiển của server đang chạy Terminal Services, nếu bạn cố gắng theo dõi phiên hoạt động của người dùng khác từ máy tính, bạn nhận được thông báo lỗi sau: Your session may appear frozen while the remote control approval is being negotiated. Please wait... Remote Control Failed. Error Code 7050. Error [7050]:The requested session cannot be controlled remotely. This may be because the session is disconnected or does not have a user logged on. Also, you cannot control a session remotely from the system console and you cannot remote control your own current session. (Phiên hoạt động của bạn có thể tạm ngưng khi yêu cầu điều khiển từ xa đang được xem xét. Xin chờ một chút… Điều khiển từ xa lỗi. Mã lỗi 7050 Lỗi [7050]: Phiên hoạt động được yêu cầu không thể được điều khiển từ xa. Nguyên nhân là do phiên này đã bị ngắt kết nối hoặc không có người dùng đăng nhập. Ngoài ra, bạn không thể điều khiển một phiên từ xa trên console hệ thống và không thể điều khiển từ xa phiên hoạt động hiện tại riêng của bạn). Nếu server sử dụng Windows Server 2003 không được cấu hình cho phép sử dụng điều khiển từ xa, bạn nhận được thông báo lỗi sau: Remote control failed. Error code 7051 Error [7051]: The requested session is not configured to allow Remote Control. (Điều khiển từ xa lỗi. Mã lỗi: 7051 Lỗi [7051]: Phiên hoạt động yêu cầu không được cấu hình cho phép sử dụng Remote Control). Để cấu hình server Windows Server 2003 cho phép sử dụng điều khiển từ xa, thực hiện theo các bước sau:

1. Mở snap-in Group Policy (Gpedit.msc).

2. Ở khung bên trái, trong phần Computer Configurationm, mở rộng Administrative Templates.

3. Mở rộng Windows Components.

4. Kích vào thư mục Terminal Services.

5. Trong khung bên phải, kích đúp vào Sets rules for remote control of Terminal Services user sessions.

6. Trên nhãn Setting, kích vào Enabled.

7. Trong hộp Options, chọn Full Control with users' permission, và bấm OK.

Cấu hình thẩm định Web Internet Information Services trên Windows Server 2003 Tóm tắt

Bài này sẽ hướng dẫn từng bước cách cấu hình thẩm định yêu cầu dựa trên nền tảng Web trong Microsoft Internet Information Services (IIS) 6.0.

Quá trình thẩm định Web diễn ra như thế nào

Thẩm định Web là hoạt động truyền thông giữa Web brower (trình duyệt web trên máy khách) và Web server (trình chủ web) với một số lượng nhỏ header và thông báo lỗi Hypertext Transfer Protocol (giao thức truyền tải siêu văn bản).

Các bước truyền thông bao gồm:

1. Web browser tạo một yêu cầu, chẳng hạn như HTTP-GET.

2. Web server thực hiện kiểm tra thẩm định. Nếu quá trình thẩm định không thành công, Server trả lời bằng một thông báo lỗi, tương tự như: You are not authorized to view this page

You do not have permission to view this directory or page using the credentials you supplied. (Quá trình thẩm định không thành công. Bạn không được quyền xem thư mục hay trang này với các thông tin thẩm định cung cấp). 3. Web browser dùng trả lời của server để xây dựng yêu cầu mới chứa các thông tin thẩm định.

4. Web server kiểm tra lại thẩm định. Nếu thẩm định thành công, Web server gửi dữ liệu được yêu cầu ban đầu tới Web browser.

Các phương thức thẩm định

Chú ý: Với một số phương thức thẩm định sau, bạn phải dùng ổ đĩa có kiểu định dạng file hệ thống file là NTFS, vì định dạng này duy trì mức bảo mật cao nhất.

IIS hỗ trợ các phương thức thẩm định sau:

Thẩm định ẩn danh

IIS tạo tài khoản IUSR_ComputerName (trong đó ComputerName là tên của server đang chạy IIS) để thẩm định người dùng ẩn danh khi họ yêu cầu nội dung Web. Tài khoản này

cung cấp cho người dùng quyền đăng nhập cục bộ. Bạn có thể thiết lập lại quyền truy cập người dùng ẩn danh để sử dụng bất kỳ tài khoản Windows hợp lệ nào.

Chú ý: Bạn có thể thiết lập các tài khoản ẩn danh khác cho nhiều website, thư mục ảo hay thư mục vật lý và cho cả các file.

Nếu máy tính sử dụng Windows Server 2003 là máy chủ độc lập, tài khoản IUSR_ComputerName nằm trên server cục bộ. Nếu server là một domain controller, tài khoản IUSR_ComputerName được định nghĩa cho domain.

Thẩm định cơ bản

Sử dụng phương thức thẩm định cơ bản để giới hạn truy cập file trên Web server định dạng NTFS. Với kiểu thẩm định cơ bản, người dùng phải nhập thông tin thẩm định và quyền truy cập dựa trên ID người dùng (user ID). Cả user ID và password đều được gửi qua mạng theo dạng văn bản thuần túy.

Để dùng thẩm định cơ bản, người quản trị phải cấp cho từng user quyền đăng nhập cục bộ. Và để quản trị dễ dàng hơn, quản trị viên nên đưa người dùng vào từng nhóm theo quyền truy cập các file cần thiết.

Chú ý: Thông thường thông tin thẩm định người dùng được mã hóa bằng chương trình Base64. Nhưng khi truyền qua mạng, thông tin này lại không được mã hóa. Vì thế thẩm định cơ bản không được xem là cơ chế thẩm định an toàn.

Thẩm định tích hợp sẵn trên Windows

Thẩm định tích hợp trên Windows an toàn hơn thẩm định cơ bản và hoạt động tốt trong môi trường Intranet, nơi người dùng có các tài khoản Windows domain. Trong thẩm định tích hợp sẵn trên Windows, trình duyệt sẽ cố gắng sử dụng thông tin thẩm định của người dùng hiện thời đăng nhập trên domain. Nếu cố gắng này thất bại, người dùng mới được nhắc nhập username, password. Khi sử dụng thẩm định tích hợp trên Windows, mật khẩu của người dùng không phải truyền tới server. Nếu người dùng đăng nhập vào máy tính cục bộ như một domain user, user không bị thẩm định lại khi truy cập máy tính nối mạng trong domain đó. Chú ý là bạn phải dùng trình duyệt Web từ Microsoft Internet Explorer 2.0 trở lên nếu muốn có cơ chế thẩm định tích hợp sẵn.

Chú ý: Bạn không thể dùng thẩm định tích hợp sẵn trên Windows qua một proxy server.

Thẩm định phân loại

Thẩm định phân loại khắc phục được nhiều nhược điểm của thẩm định cơ bản. Mật khẩu sẽ không bị gửi đi theo dạng văn bản thuần túy. Hơn nữa bạn có thể dùng thẩm định phân loại qua một proxy server. Thẩm định phân loại sử dụng cơ chế challenge/response (thách_thức/đáp¬_ứng, tương tự như request/respone ở thẩm định tích hợp sẵn trên Windows), trong đó mật khẩu được mã hóa khi gửi qua mạng.

Để dùng thẩm định phân loại, chú ý các yêu cầu tiên quyết sau:

• User và IIS server phải là thành viên, hoặc được ủy thác trên cùng một domain.

• User phải có tài khoản người dùng Windows hợp lệ lưu trữ trong Active Directory trên domain controller.

• Domain phải dùng domain controller dựa trên Microsoft Windows 200 hoặc mới hơn.

• Bạn phải cài file IISSuba.dll trên domain controller. File này được sao chép tự động trong quá trình cài đặt Windows 2000 hoặc Windows Server 2003.

• Bạn phải cấu hình tất cả tài khoản người dùng sử dụng tùy chọn Store password using reversible encryption (Lưu trữ mật khẩu dùng mã hóa đảo ngược). Muốn sử dụng tùy chọn tài khoản này, mật khẩu phải được thiết lập lại hoặc được nhập lại.

Chú ý: Muốn dùng mã hóa phân loại bạn phải sử dụng phiên bản Microsoft Internet Explorer từ 5.0 trở lên làm trình duyệt Web.

Thẩm định .NET Passport

Microsoft .NET Passport là dịch vụ thẩm định người dùng cho phép bảo mật đăng nhập đơn, cung cấp cho người dùng quyền truy cập bảo mật nâng cao các website và dịch vụ hỗ trợ .NET Passport. Website hỗ trợ .NET Passport dựa trên server trung tâm .NET Passport để thẩm định tư cách người dùng. Tuy nhiên server trung tâm không cho phép hay từ chối truy cập của một người dùng cụ thể tới website hỗ trợ .NET Passport riêng lẻ. Mỗi website sẽ có trách nhiệm điều khiển quyền hạn của người dùng. Khi bạn dùng tùy chọn này, yêu cầu tới IIS phải chứa thông tin thẩm định .NET Passport hợp lệ trên hoặc là xâu truy vấn, hoặc là trong cookie. Nếu IIS không tìm ra được thông tin thẩm định .NET Passport, yêu cầu sẽ được gửi lại tới trang đăng nhập .NET Passport.

Ánh xạ chứng chỉ client

Ánh xạ chứng chỉ client là phương thức trong đó một bản đối chiếu được tạo ra giữa chứng chỉ và tải khoản người dùng. Trong mô hình này, người dùng đưa ra một chứng chỉ và hệ thống nhìn vào bản đối chiếu để đối chiếu xem tài khoản người dùng nào sẽ được đăng nhập. Bạn có thể ánh xạ chứng chỉ với tài khoản người dùng Windows bằng một trong hai cách: • Sử dụng Active Directory

• Hoặc sử dụng các quy tắc được định nghĩa trong IIS. Để biết thêm thông tin về cách ánh xạ chứng chỉ client với tài khoản người dùng, bạn có thể tìm phần “Client Certificate Mapping” trên tài liệu hướng dẫn của IIS. Nếu đã cài IIS, bạn có thể truy cập các file Help hoặc sử dụng các phương thức sau:

• Kích phải chuột lên một nút nào đó trong Internet Service Manager, sau đó chọn Help.

• Khởi động Windows Explorer, xác định vị trí thư mục: tên_ổ_cứng:\Windows\Help, sau đó mở file Lismmc.chm. Bạn có thể cấu hình cho từng phương thức thẩm định điều khiển truy cập tới các đối tượng sau trên IIS server: • Tất cả nội dung Web nằm trên IIS Server.

• Các website riêng nằm trên IIS Server.

• Các thư mục ảo hoặc thư mục vật lý riêng nằm trên website.

• Các trang hoặc file riêng trên một website. Cấu hình thẩm định website IIS như thế nào

1. Sử dụng tài khoản quản trị viên đăng nhập vào Web Server.

2. Khởi động IIS Manager hoặc mở snap-in IIS.

3. Mở rộng Server_name, trong đó Server_name là tên của server; mở rộng phần Web Sites.

4. Sử dụng một trong các phương thức sau (phù hợp với trường hợp cụ thể của bạn), sau đó kích Properties: • Để cấu hình thẩm định cho tất cả nội dung Web nằm trên IIS server, kích phải chuột lên Web Sites.

• Để cấu hình thẩm định cho một website riêng, kích phải chuột lên website bạn muốn.

• Để cấu hình thẩm định cho thư mục ảo hay thư mục vật lý trong một website, kích vào website, sau đó kích phải chuột lên thư mục muốn thiết lập, chẳng hạn như _vti_pvt.

• Để cấu hình thẩm định cho một trang hay file riêng trong website, kích vào website, sau đó kích vào thư mục chứa file hoặc trang web và bấm chuột phải lên chúng. 5. Trong hộp thoại ItemName Properties (ItemName là tên đối tượng bạn chọn), ấn vào tab Directory Security hoặc File Security (tùy vào trường hợp cụ thể để lựa chọn cho thích hợp).

6. Dưới nhãn Anonymous access and authentication control (Điều khiển thẩm định và truy cập ẩn danh), kích Edit.

7. Kích chọn hộp kiểm Anonymous access để bật chức năng truy cập ẩn danh. Muốn tắt nó, bỏ dấu chọn trong hộp check box là được.

Chú ý: Nếu muốn tắt chức năng truy cập ẩn danh, bạn phải cấu hình một số dạng truy cập được thẩm định.

Muốn thay đổi tài khoản dùng cho truy cập ẩn danh tài nguyên này, kích vào Browse, chọn tài khoản người dùng muốn sử dụng, sau đó ấn OK.

8. Dưới nhãn Authenticated access (truy cập được thẩm định), kích chọn hộp kiểm Windows Integrated authentication nếu bạn muốn sử dụng cơ chế thẩm định tích hợp sẵn trên Windows.

Chú ý: Phương thức thẩm định này trước đây được biết đến dưới hình thức Challenge/Response hay NT LAN Manager (NTLM) trong Microsoft Windows NT.

9. Kích chọn hộp kiểm Digest authentication for Windows domain servers nếu muốn sử dụng cơ chế thẩm định phân loại. Khi nhận được thông báo sau, kích vào Yes. “Digest authentication only works with Active Directory domain accounts. For more information about configuring Active Directory domain accounts to allow digest authentication, click Help.

Are you sure you wish to continue?”.

(Thẩm định phân loại chỉ làm việc với các tài khoản domain Active Directory. Để biết thêm thông tin về cách cấu hình tài khoản miền Active Directory cho phép sử dụng thẩm định phân loại, kích vào Help.

Bạn có muốn tiếp tục?). Gõ tên khu vực vào hộp Realm

Chú ý: Bạn phải cấu hình tài khoản người dùng với tùy chọn Store password using reversible encryption (lưu trữ mật khẩu dùng thuật mã hóa đảo ngược).

10. Kích chọn hộp kiểm Basic authentication (password is sent in clear text) nếu muốn sử dụng thẩm định cơ sở. Khi nhận được thông báo sau, kích vào Yes: The authentication option you have selected results in passwords being transmitted over the network without data encryption. Someone attempting to compromise your system security could use a protocol analyzer to examine user passwords during the authentication process. For more detail on user authentication, consult the online help. This warning does not apply to HTTPS (or SSL) connections.

Are you sure you want to continue?

(Tùy chọn thẩm định bạn chọn truyền mật khẩu qua mạng mà không mã hóa dữ liệu. Một người nào đó muốn phá hoại bảo mật hệ thống có thể dùng chương trình phân tích giao thức để kiểm tra mật khẩu người dùng trong quá trình thẩm định. Để biết thêm thông tin về thẩm định người dùng, tham khảo ở hệ thông tư vấn trực tuyến. Cảnh báo này không áp dụng cho các kết nối HTTPS (hay SSL)).

Bạn có muốn tiếp tục?)

a. Muốn mô tả tên miền dùng cho thẩm định người dùng sử dụng cơ chế thẩm định cơ bản, gõ tên miền vào ô Default domain.

b. Ngoài ra còn cần nhập giá trị vào ô Realm.

11. Kích chọn hộp kiểm .NET Passport authentication nếu muốn dùng thẩm định .NET Passport.

Chú ý: Khi bạn chọn tùy chọn này, các phương thức thẩm định khác không dùng được.

12. Bấm OK, sau đó trong hộp thoạiItem Name Properties, bấm OK tiếp. Nếu hộp thoại Inheritance Overrides, thực hiện các bước sau:

a. Bấm Select All để áp dụng các thiết lập thẩm định mới cho toàn bộ file hoặc thư mục trên vị trí đối tượng bạn thay đổi.

b. Ấn OK.

13. Thoát IIS Manager hoặc đóng IIS snap-in.

Áp dụng cho• Microsoft Windows Server 2003, Datacenter Edition (32-bit x86) • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86) • Microsoft Windows Server 2003, Standard Edition (32-bit x86) • Microsoft Windows Server 2003, 64-Bit Datacenter Edition • Microsoft Windows Server 2003, Enterprise x64 Edition • Microsoft Internet Information Services 6.0 • Microsoft Windows Small Business Server 2003 Premium Edition • Microsoft Windows Small Business Server 2003 Standard Edition

Khai thác hiệu quả máy in trong Windows Server 2003 Nhiều năm trở lại đây, máy in đã trở thành thứ không quá đắt đối với chi phí của bạn. Tuy nhiên có nhiều giải pháp để có thể biết được ai đang thực hiện việc in ấn trên máy in trong mạng của bạn. Ví dụ: văn phòng trả tài khoản của công ty có một máy in để in các bản kiểm tra. Bạn có thể cấu hình máy in theo kiểu này để không cho những người có tài khoản người dùng trong miền có thể in nó. Ngoài ra việc biết một người dùng trái phép đã dùng nó để in và kiểm tra các bản kiểm tra xem người dùng hợp lệ có được in hay không là một vấn đề hết sức quan trọng.

Bạn chắc cũng đã thấy một số các công ty sử dụng một số lượng hạn chế các máy in đắt tiền. Ví dụ: một công ty có một máy in ảnh 36x24 inch. Bạn có thể hình dung, in bức ảnh có kích thước lớn hẳn không rẻ chút nào và phải tốn rất nhiều mực để in được với kích thước đó. Chính vì thế, chỉ có một số ít người được cho phép in đối với máy này, nên công ty đã quyết định kiểm tra hiệu suất sử dụng trên các máy in để bảo đảm rằng các nguồn cung cấp không bị mất thời gian với những công việc in ấn không cần thiết.

Rõ ràng không hề có vấn đề gì đối với việc hạn chế máy in này. Nếu công ty của bạn làm cho hợp lý đối với việc sử dụng máy in thì đây là một ý tưởng tốt để kiểm tra máy in, bảo đảm nó không bị sử dụng vào các mục đích trái phép. Trong bài viết này, chúng tôi sẽ giới thiệu cho các bạn cách kiểm tra máy in và giải thích cho các bạn thấy được các tùy chọn kiểm tra khác nhau của chúng là gì.

Quả thực hạn chế và kiểm tra các máy in cực kỳ dễ dàng nếu chuỗi in này được cấu hình trên một máy chủ có sử dụng Windows Server 2003. Bạn phải lưu ý ở đây là điều này không có nghĩa là các máy in phải được gắn với máy chủ theo đường vật lý. Máy chủ có thể cấu hình chuỗi in cho một máy in mạng. Ví dụ: trong công ty, chúng tôi có một máy in với card mạng riêng. Theo cách thông thường, hoàn toàn có thể in với các máy in này mà không cần kết nối máy in này đến máy chủ. Tuy nhiên nếu người dùng được phép in trực tiếp đến một máy in như vậy thì chúng ta không thể kiểm tra được hiệu suất của nó.

Nếu bạn quan tâm đến việc hạn chế và kiểm tra một máy in như vậy thì bạn sẽ cảm thấy có nhiều điều thú vị hơn với việc tạo một chuỗi in trên một trong những máy chủ và xử lý với máy in mạng như thể là nó đã được kết nối đến máy chủ (dù là không).

Để xem nó như thế nào, bạn click vào nút Start của máy chủ và chọn Control Panel | Printers and Faxes | Add Printer từ menu Start. Khi bạn thực hiện, Windows sẽ khởi chạy Add Printer wizard.

Click next để bỏ qua màn hình Welcome của wizard. Sau khi nhấn xong bạn sẽ quan sát thấy một màn hình tương tự như hình A. Như những gì thấy trên hình, màn hình này hỏi xem bạn có muốn sử dụng một máy in được gắn với máy chủ hay không hoặc có thích sử dụng một máy in mạng không. Màn hình này có một chút sai lệch bởi vì mặc dù chúng ta đang tạo một chuỗi in cho một máy in mạng nhưng Windows không nhận ra nó theo cách này. Nếu bạn đã chọn tùy chọn Network Printer thì Windows sẽ thừa nhận rằng bạn đã kêt nối đến máy in đã được cấu hình trên Internet hoặc đến một máy in đang được cấu hình bởi một Windows khác. Điều đó có nghĩa là bạn sẽ phải kết nối đến máy in bằng cách nhập vào URL, UNC dựa trên tên chia sẻ của chúng hoặc bằng việc thực hiện một truy vấn Active Directory. Với mục đích của bài viết này, thừa nhận rằng chúng ta đang thử kiểm tra một máy in đứng độc lập, vì vậy không có tùy chọn nào được áp dụng. Trường hợp đó, chúng ta hãy đi thẳng và chọn tùy chọn Local Printer cho dù là máy in không thực sự cục bộ.

Hình A: Windows hỏi bạn lựa chọn kết nối đến một máy in cục bộ hoặc máy in mạng. Bây giờ bạn sẽ được thấy màn hình tương tự như hình được thể hiện trong hình B. Như những gì bạn thấy trên hình, Windows thừa nhận rằng máy in được kết nối đến máy chủ thông qua một cổng song song (LPT1). Bạn không thể sử dụng tùy chọn LPT1 khi máy in không được kết nối trực tiếp đến máy chủ. Tất cả các tùy chọn khác trong danh sách sổ xuống Use the Following Port cũng đề cập đến các cổng cục bộ. Vì vậy bạn sẽ phải chọn tùy chọn Create a New Port.

Hình B: Mặc định Add Printer Wizard kết nối đến một máy in đã được gắn cục bộ. Danh sách sổ xuống Create a New Port gồm có hai tùy chọn; Local Port và Standard TCP/IP port. Chọn tùy chọn Standard TCP/IP port và click Next, Windows sẽ khởi chạy Add Standard TCP/IP Printer Port wizard. Click Next để bỏ qua màn hình này bạn sẽ nhìn thấy một màn hình như hình C, cửa sổ này hỏi về tên của máy in hoặc địa chỉ IP và tên cổng.

Hình C: Bạn phải nhập vào địa chỉ IP của máy in và tên cổng. Máy in có một địa chỉ IP được gán cho nó, vì vậy bạn chỉ cần nhập vào đó địa chỉ vào khoảng trống. Ở đây có thể nhập tên cổng bất kỳ nhưng phải lưu ý rằng tên cổng phải là duy nhất. Mặc định, Windows sẽ tạo tên cổng của nó có IP_ ở trước địa chỉ IP của máy in. Bạn có thể sử dụng tên cổng này hoặc tạo tên cổng mà bạn thích thay đổi.

Click Next bạn sẽ quan sát thấy một cửa sổ hiển thị các tùy chọn đã nhập vào như hình D. Chú ý trong hình này, cổng mà bạn đang cấu hình được thiết lập để chấp nhận dữ liệu in RAW trên cổng 9100 và Windows thừa nhận rằng máy in sử dụng giao diện HP Jet Direct

Hình D: Windows hiển thị các tùy chọn mà bạn đã chọn Click Finish bạn sẽ quay trở lại Add Printer wizard. Cửa sổ tiếp theo mà bạn sẽ quan sát thấy yêu cầu đánh vào đó loại máy in đang thiết lập. Bạn có thể chọn đúng loại máy in từ danh sách hoặc sử dụng tùy chọn có trong ổ cứng Have Disk để cung cấp một drive in của riêng bạn.

Click Next bạn sẽ thấy một màn hình hỏi về tên cùa máy in và xem có muốn Windows sử dụng như máy in mặc định hay không. Trả lời các câu hỏi đó hoàn toàn dễ dàng đối với bạn. Sau khi hoàn thành các phần chọn, click Next.

Bạn sẽ quan sát thấy một cửa sổ tương tự như hình E, cửa sổ này hỏi xem bạn có muốn chia sẻ máy in hay không. Windows đã thừa nhận rằng bạn cho thiết lập máy in để in nó từ máy chủ. Nếu mục đích của bạn là để kiểm tra việc sử dụng máy in thì phải chia sẻ nó.

Hình E: Bạn nên chọn chia sẻ máy in Mục tiêu của bạn là các công việc đã được dự trù từ trước cho máy in thông qua máy đang cấu hình. Bằng cách làm như vậy bạn sẽ hạn chế được sự truy cập đến máy in (nếu cần thiết), và sẽ kiểm tra được vấn đề sử dụng máy in.

Chúng ta cũng nên đề cập đến vấn đề quan trọng ở đây đó là bạn chỉ thiết lập một máy chủ để chia sẻ máy in này. Mặt khác nếu có nhiều máy chủ để sử dụng máy in cùng một thời điểm thì máy in có thể từ chối như thế nào.

Click Next bạn sẽ thấy cửa sổ lệnh để nhập vào vị trí của máy in và nhắc nhở tùy chọn. Thông tin này được dự định để giúp người dùng tính toán chuỗi in của nó.

Click Next bạn sẽ nhận được in một trang kiểm tra. Sau khi thực hiện công việc này, click Next thêm một lần nữa sau đó là Finish. Máy chủ sẽ được thiếp lập để quản lý các công việc in của máy in. Nhớ rằng bạn phải gửi lại một lần nữa đến các máy trạm làm việc để chúng in tên chia sẻ UNC của máy chủ (\\server name\share name) hay hơn việc in từ may in một cách trực tiếp.

Kết luận

Trong phần 1 này, chúng tôi đã cho các bạn thấy được cách cấu hình một máy chủ để quản lý một máy in mạng. Trong phần 2 của loạt bài này chúng tôi sẽ tiếp tục giới thiệu cho các bạn thấy được cách bảo vệ và kiểm tra chuỗi in.Bắt đầu bằng việc quan sát phần có trong thuộc tính của máy in. Bạn có thể vào các thuộc tính này bằng việc điều hướng thông qua menu Start của máy chủ > Control Panel | Printers and Faxes. Khi bạn chọn menu Printers and Faxes, chuỗi in đang được quản lý

bởi máy chủ sẽ hiển thị trên menu con. Kích chuột phải vào chuỗi in mà bạn muốn bảo vệ và chọn Properties.

Khi cửa sổ các thuộc tính của máy in được mở, tab General sẽ lựa chọn một cách mặc định. Không thực sự có nhiều thứ bạn muốn làm về vấn đề bảo mật trong tab này, vì vậy hãy vào tab Sharing. Như những gì bạn có thể nhìn thấy trong hình A tab Sharing cho phép chỉ định tên máy in chia sẻ. Tên chia sẻ được sử dụng như một phần của quy ước tên phổ biến Universal Naming Convention (UNC). Có một số lệnh có thể được sử dụng ở đây đối với máy in đang được sử dụng UNC. Ví dụ: nếu muốn bản đồ hóa cổng LTP1 cho máy in, bạn sử dụng lệnh dưới đây:

NET USE LPT1: \\servername\sharename

Ở lệnh trên, tên máy chủ servername sẽ biểu hiện một máy chủ đang quản lý máy in được chia sẻ, còn tên chia sẻ sharename là tên máy in được chia sẻ ở dưới.

Hình A: Tab Sharing cho phép bạn thiết lập tên chia sẻ của máy inNhìn thoáng qua, tab này có nội dung và hình thức rất giống với cửa sổ sử dụng để chia sẻ thư mục. Tuy nhiên nhìn kỹ ta sẽ thấy có một số điểm khác. Điểm khác biệt chủ yếu ở đầy là, trong cửa sổ chia sẻ thư mục file, bạn có thể thiết lập các cho phép ở mức chia sẻ hay cả mức NTFS. Nếu nhìn vào hình A, bạn sẽ thấy rằng, không có cơ chế nào để thiết lập các sự cho phép đó ở đây. Thay vì đó, tất cả sự cho phép được thiết lập thông qua tab Security, nội dung của tab này sẽ được chúng tôi giới thiệu sau.

Có một số thứ có thể thực hiện trong tab Sharing để có thể tăng bảo mật của máy in. Một tùy chọn cho phép không liệt kê máy in trong Active Directory. Việc không liệt danh sách máy in trong Active Directory sẽ làm cho máy in không thể nhìn thấy được bởi người khác, chính vì vậy mà người dùng vẫn có thể duyệt mạng máy in (sử dụng kiểu NetBIOS, không bằng duyệt Active Directory). Nó giảm những trường hợp nhiều người dùng vô tình nhảy vào máy in.

Nếu bạn để ý trong hình A, sẽ thấy được nút Additional Drivers. Windows được thiết kế để khi người dùng gắn máy in thông qua sự chia sẻ, các driver cần thiết sẽ được cài đặt tự động vào máy tính người dùng. Nếu ở trong tình huống này, tình huống mà bạn biết rằng ai đó cần máy in đang chạy trên một hệ điều hành riêng thì bạn có thể cài đặt các driver chỉ cho hệ điều hành đó. Đây không đúng là một giải pháp bảo mật vì một người dùng hoàn toàn có thể cài đặt một driver lên máy tính của họ bằng cách tải nó về từ Internet (cho rằng họ có sự cho phép làm điều đó). Việc không tự động trao cho người dùng một driver khi họ gắn máy in chỉ cần đơn giản bằng cách bắt người dùng phải nhảy qua các kiểm tra.

Không có thiết lập nào trên tab Sharing đạt những gì cho là các thiết lập bảo mật thực sự, chúng là những thứ đơn giản nhưng có thể cải thiện bảo mật ở một mức độ thứ yếu trong một số trường hợp, vì vậy mà chúng tôi vẫn đề cập đến.

Tab Advanced

Tab Advanced thực sự không có nhiều thiết lập bảo mật, nhưng nó có một thiết lập mà chúng tôi muốn giới thiệu cho các bạn. Nếu nhìn vào hình B thì bạn sẽ thấy tab Advanced gồm có một thiết lập cho phép kiểm soát máy in khi in hoặc không in. Nếu bạn biết không có ai trong công ty cần đến việc in ấn ngoài giờ thì có thể thiết lập máy in để nó chỉ có tác dụng in trong giờ làm việc của công ty.

Hình B: Tab Advanced gồm một thiết lập cho phép bạn điều khiển thời gian in. Tab Security

Tab Security được thể hiện như trong hình C, cho phép bạn kiểm soát chuỗi in. Ở đây bạn có thể điều khiển được cả người dùng và nhóm người dùng giống như việc bảo mật hệ thống file. Tuy nhiên chúng ta nên sử dụng bảo mật nhóm trong trường hợp này.

Hình C: Tab Security cho phép kiểm soát người dùng hoặc nhóm Nếu nhìn vào hình, bạn có thể thấy được 4 tùy chọn khác nhau ứng với những chức năng bảo mật khác nhau có thể thiết lập cho máy in. Cửa sổ này thực sự không nói hết được các tính năng bảo mật, chúng chỉ đưa ra các cho phép có sẵn. Nếu bạn thực sự muốn nâng cao hơn nữa tính năng bảo mật cho máy in thì hãy nhấn vào nút Advanced.

Khi nhấn vào đó, Windows sẽ hiển thị cho bạn các thuộc tính bảo mật nâng cao. Các thuộc tính này cho phép thiết lập cho phép cho người dùng và nhóm theo cách giống như màn hình hiển thị trong hình C. Tuy nhiên sự khác nhau ở đây là màn hình này cho phép bạn có khả năng can thiệp vào sâu hơn nữa về các thuộc tính máy in. Hình D dưới đây cho bạn thấy rõ điều này.

Hình D: Các thuộc tính bảo mật nâng cao cho phép bạn có những tính năng bảo mật nâng cao hơn so với các chức năng sẵn có trong tab Security.

Ở đây, bạn có thể cho phép hoặc hạn chế sự cho phép, việc này tạo điều kiện thuận tiện trong sử dụng. Nếu người dùng là một thành viên của hai nhóm khác nhau thì những cho phép của nhóm sẽ được kết hợp để tạo thành cho phép hiệu quả đối với người dùng. Thông thường tình huống tương tự như vậy thường áp dụng cho những cho phép hạn chế mức thấp nhất. Tuy nhiên ngoại trừ trường hợp người dùng có hạn chế đặc biệt thì hạn chế này sẽ có quyền ưu tiên cao nhất. Bạn có thể sử dụng khái niệm này để tăng kiểm soát đối với các cho phép. Trước khi giới thiệu cho bạn cách làm, chúng ta hãy xem qua các cho phép khác nhau đó có những chức năng gì.

Print – Nếu một người dùng được cho phép in thì người này sẽ được phép sử dụng máy in.

Manage Printers (Quản lý các máy in) – Với cho phép này, người dùng có thể thay đổi các thuộc tính của máy in và thay đổi các cho phép để áp dụng đối với người dùng khác.

Manage Documents (Quản lý tài liệu) – Tính năng này cho phép người dùng thực hiện một số công việc như là dừng, khởi động lại, hay xóa một nhiệm vụ in nào đó.

Read Permissions – Nếu người dùng được gán cho chức năng này thì họ có thể xem các cho phép được gán tới mỗi người dùng.

Change Permissions – Chức năng này cho phép người dùng thay đổi các cho phép đối

với người dùng khác.

Take Ownership – Tính năng này cho phép người dùng có được quyền sở hữu máy in.

Bạn có thể sử dụng các cho phép khác nhau để kết hợp (giữa cho phép và hạn chế) để tạo ra các thiết lập bảo mật mức cao.

Kết luận

Như đã giới thiệu, có nhiều thiết lập mà bạn có thể sử dụng để kiểm soát máy in trong công ty bạn. Trong phần 3 của bài viết này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn cách làm thế nào để kiểm định việc sử dụng máy in.

Tạo và áp dụng chính sách bảo mật truy cập từ xa trong Windows Server 2003 Hướng dẫn từng bước dưới đây sẽ giới thiệu cho bạn cách đặt chính sách bảo mật truy cập từ xa trong Microsoft Windows Server 2003 ở chế độ thông thường. Ngoài ra cũng giới thiệu cách thiết lập chính sách này trên Windows Server 2003 trong các máy chủ truy cập từ xa.

Trong Microsoft Windows Server 2003 ở chế độ thông thường, bạn có thể sử dụng ba kiểu chính sách truy cập từ xa dưới đây:

• Explicit allow (Cho phép hoàn toàn)Chính sách truy cập từ xa được thiết lập là "Grant remote access permission" (Cho phép truy cập từ xa) và kết nối phù hợp với các điều kiện của chính sách.

• Explicit deny (Từ chối hoàn toàn)Chính sách truy cập từ xa được thiết lập là "Deny remote access permission" (Từ chối truy cập từ xa) và kết nối phù hợp với các điều kiện của chính sách. • Implicit deny (Từ chối hoàn toàn tuyệt đối) Kết nối không phù hợp với tất cả các điều kiện truy cập của chính sách.

Để thiết lập một chính sách truy cập từ xa, cấu hình chính sách. Sau đó, cấu hình thiết lập dial-in của tài khoản người dùng để chỉ ra các quyền truy cập từ xa được kiểm soát bởi chính sách.

Cách cấu hình chính sách truy cập từ xa

Mặc định, hai chính sách truy cập từ xa được cung cấp trong Windows Server 2003:

• Connections to Microsoft Routing and Remote Access server Chính sách này tương ứng với các kết nối truy cập từ xa được tạo đối với Routing và dịch vụ truy cập từ xa.

• Connections to other access servers (Kết nối đến các máy chủ truy cập khác)Chính sách này tương ứng với các kết nối vào, không quan tâm đến loại máy chủ truy cập

mạng.

Windows Server 2003 sử dụng chính sách Connections to other access servers chỉ khi một trong những điều kiện sau được thỏa mãn:

• Chính sách Connections to Microsoft Routing and Remote Access server không có sẵn.

• Các chính sách cũ hơn đã được thay đổi.

Để cấu hình một chính sách mới, bạn thực hiện theo các bước sau:

1. Kích Start, vào Programs, Administrative Tools, sau đó là Routing and Remote Access.

2. Mở Server_Name, sau đó kích Remote Access Policies.

Lưu ý, nếu bạn không cấu hình truy cập từ xa, hãy kích Configure and Enable Routing and Remote Access trên menu Action, và sau đó thực hiện theo các bước trong Routing and Remote Access Server Setup Wizard.

3. Tạo một chính sách mới

Các bước ví dụ dưới đây sẽ mô tả cho các bạn cách tạo một chính sách mới cho phép hoàn toàn quyền truy cập từ xa đối với một người dùng cụ thể trong những ngày nào đó. Chính sách này cũng khóa hoàn toàn sự truy cập trong những ngày khác.

Kích chuột phải vào Remote Access Policies, sau đó kích New Remote Access Policy.

Trong New Remote Access Policy Wizard, kích Next. Trong hộp Policy name, đánh Test Policy, sau đó kích Next. Trong trang Access Method, kích Dial-up, sau đó kích Next. Trong trang User or Group Access, kích User hoặc Group, sau đó kích Next.

Lưu ý nếu bạn muốn cấu hình chính sách truy cập từ xa cho một nhóm, thì kích Add, đánh tên của nhóm trong hộp Enter Object Names To Select, sau đó kích OK.

Trong trang Authentication Methods, bảo đảm rằng chỉ có hộp chọn Microsoft Encrypted Authentication version 2 (MS-CHAPv2) được chọn, sau đó kích Next.

Trong trang Policy Encryption Level, kích Next. Kích Finish.

Một chính sách mới có tên là Test Policy xuất hiện trong Remote Access Policies Trong cửa sổ bên phải, kích chuột phải vào Test Policy sau đó kích Properties. Kích Edit Profile, chọn hộp thoại Allow access only on these days and at these

times, sau đó kích Edit.

Kích Denied, Monday through Friday from 8:00 A.M. to 4:00 P.M > Permitted > OK,

Kích OK để đóng hộp thoại Edit Dial-in Profile. Kích OK để đóng hộp thoại Test Policy Properties.

Chính sách Test Policy đã có hiệu lực Lặp lại các bước để tạo một chính sách khác có tên là Test Block Policy. Trong cửa sổ bên phải, kích chuột phải vào Test Block Policy, sau đó chọn

Properties. Trong hộp thoại Test Block Policy Properties, kích Deny remote access

permission.

Lúc này chính sách Test Block Policy có hiệu lực

4. Thoát khỏi Routing and Remote Access.

Cách cấu hình thiết lập dial-in tài khoản người dùng

Để chỉ định các quyền truy cập từ xa được kiểm soát bởi chính sách truy cập này, bạn thực hiện các bước như sau:

1. Kích Start, vào Programs > Administrative Tools, sau đó sử dụng một trong các phương pháp dưới đây.

Phương pháp 1: Với bộ điều khiển miền Active Directory

Nếu máy tính là một bộ điều khiển miền dịch vụ thư mục Active Directory, bạn thực hiện các bước dưới đây:

a, Kích Active Directory Users and Computers.

b, Trong menu hình cây, mở Your_domain, sau đó kích Users. Phương pháp 2: Với máy chủ Windows Server 2003 độc lập

Nếu máy tính của bạn là một máy chủ Windows Server 2003 độc lập, bạn thực hiện theo các bước dưới đây:

a, Kích Computer Management.

b, Trong cửa sổ menu hình cây, kích vào System Tools > Local Users and Groups, sau đó là Users.

2. Kích chuột phải vào tài khoản người dùng, sau đó chọn Properties.

3. Trong tab Dial-in, kích Control access through Remote Access Policy, sau đó kích OK.

Lưu ý, nếu Control access through Remote Access Policy không có sẵn, thì Active Directory có thể đang hoạt động trong chế độ “Mixed”.

Xử lý sự cố

Nếu không sử dụng các nhóm để chỉ định quyền truy cập từ xa trong cấu hình chính sách thì bạn hãy bảo đảm rằng tài khoản khách phải được vô hiệu hóa. Cũng như vậy, bạn phải bảo đảm rằng đã thiết lập quyền truy cập từ xa cho tài khoản khách là Deny access. Để thực hiện điều đó, hãy sử dụng một trong các phương pháp dưới đây:

Phương pháp 1: Với bộ điều khiển miền Active Directory 1. Kích Start, chỉ đến Programs > Administrative Tools, sau đó kích Active Directory Users and Computers.

2. Trong cửa sổ hình cây, mở Your_domain sau đó kích Users.

3. Kích chuột phải vào Guest, sau đó kích Properties.

4. Trong tab Dial-in, kích Deny access, sau đó là OK

5. Kích chuột phải vào Guest, chỉ đến All Tasks, sau đó kích Disable Account.

6. Khi nhận được thông báo “Object Guest has been disabled” (Đối tượng khác đã được vô hiệu hóa), kích OK.

7. Thoát khỏi Active Directory Users and Computers. Phương pháp 2: Với máy chủ Windows Server 2003 đơn lẻ 1. Kích Computer Management.

2. Trong cửa sổ menu hình cây, kích System Tools > Local Users and Groups, sau đó kích Users.

3. Kích chuột phải vào Guest chọn Properties.

4. Trong tab Dial-in, kích Deny access, sau đó kích OK.

5. Kích chuột phải vào Guest chọn Properties.

6. Kích chọn Account is disabled, sau đó kích OK.

7. Thoát khỏi Computer Management. Tham khảo thêm

Để có thêm thông tin chi tiết về các chính sách truy cập từ xa, bạn hãy kích Start > Help and Support, nhập remote access policies trong hộp tìm kiếm Search, sau đó nhấn ENTER để xem các chủ đề.

Cấu hình Distributed File System (DFS) trên Windows Server 2003 Windows 2000 đã giới thiệu Distributed File System (DFS) cho phép bạn hợp nhất các chia sẻ file giúp người dùng có thể truy cập tới chúng từ một điểm trên mạng. Windows Server 2003 đã cải tiến công nghệ mô hình WAN cho phép các điểm DFS tồn tại qua các liên kết WAN. Trong bài này, Quản Trị Mạng sẽ giải thích hoạt động của DFS cũng như đưa ra các bước thiết lập và cấu hình DFS trên Windows Server 2003.

Trong môi trường DFS bạn có thể tập trung các thư mục và tập tin chia sẻ cùng tồn tại trên các máy chủ khác nhau để hiển thị như từ cùng một vị trí.

Thực hiện theo các bước cấu hình DFS như sau:

1. Cấu hình máy chủ để nắm được nguyên tắc của máy chủ tài nguyên. Trên thanh Start chọn Administrative Tools.

2. Chọn Configure Your Server Wizard.

3. Tại Roles wizard, chọn nguyên tắc cho máy chủ tập tin và kích Next. (Bạn có thể sẽ cần đĩa CD Windows Server 2003 CD để hoàn thành thiết lập).

4. Sau khi hoàn thành cài đặt, kích Finish.

Việc sử dụng các thành phần của DFS không phụ thuộc vào các nguyên tắc máy chủ tài nguyên . Nếu như bạn không muốn cấu hình các nguyên tắc máy chủ tài nguyên thì có thể cài đặt các thành phần DFS theo các bước sau:

1. Mở Start | Control Panel vào mục Add/Remove Programs.

2. Chọn Windows Components từ thanh điều hướng bên trái.

3. Kích chọn hộp kiểm kế bên thành phần DFS mong muốn. Nếu bạn không đang sử dụng nhiều trang với nhiều yêu cầu tương đương, thì có thể chọn thành phần DFS và kích Details để hủy chọn thành phần DFS thứ bản.

4. Vào Start | All Programs | Administrative Tools.

5. Chọn Distributed File System.

6. Tại ô bên trái của snap-in DFS, kích phải chuột tại nút Distributed File System và chọn New Root.

Cách tạo một DFS root

Các môi trường DFS tạo một DFS root, là nơi mà tất cả các mục chọn bên trong DFS tồn tại. Ví dụ như nếu văn phòng Chicago gọi DFS root trên máy chủ tài nguyên nội bộ “phòng ban” thì sẽ thu được một danh sách các tài nguyên chia sẻ có trong DFS.

1. New Root Wizard sẽ trợ giúp bạn tạo DFS root. Kích Next trên màn hình Welcome để bắt đầu.

2. Tiếp theo New Root Wizard sẽ yêu cầu bạn lựa chọn tạo Standalone Root hay một Domain Root. Sau đó kích Next.

Một Domain root sử dụng Active Directory (AD) để lưu trữ các thông tin DFS; Nó cũng cho phép các thông tin DFS đồng nhất với AD, đồng thời cho phép các DFS root và các tài nguyên chia sẻ cùng đồng bộ qua các trang. Một Standalone root lưu trữ thông tin DFS trên máy chủ tài nguyên của chính nó và không có bản sao đồng nhất.

Tùy theo sự lựa chọn root để xác định bạn sẽ cung cấp gì trong phần tiếp theo của New Root Wizard. Nếu chọn Domain Root, bạn cần chỉ định rõ tên miền của môi trường AD cũng như là các miền tin cậy khác. Nếu chọn Standalone, bạn sẽ nhập vào tên của máy chủ tài nguyên.

3. Nhập vào tên của Active Directory Domain (đối với domain root) hay Server Name (đối với standalone root) và kích Next.

(Trong phần còn lại của bài sẽ sử dụng một Standalone root cho DFS. Sự khác nhau giữa hai loại trên chỉ là sự đồng nhất AD chứ không ảnh hưởng gì tới cấu hình chung của DFS.)

4. Sau khi đã chỉ định tên máy chủ tài nguyên cho DFS root, hãy nhập tên root và kích Next. (Trong ví dụ thì root có tên là Departments).

5. Tại màn hình tiếp theo, tìm tới một thư mục mà bạn muốn chia sẻ như là một phần của môi trường DFS. Chọn thư mục và kích Next. Bạn có thể thêm các chia sẻ thêm vào DFS root bất kỳ lúc nào sau những bước cấu hình đầu tiên.

6. Kích Finish để hoàn thành cài đặt DFS New Root.

Nếu kích vào DFS root được tạo trong bảng điều khiển DFS, bạn sẽ không thấy bất kì sự chia sẻ nào bởi vì bạn chưa thêm chúng vào. Thư mục chia sẻ được xác định khi đang tạo DFS root cũng như điểm bắt đầu cho môi trường DFS. Để thêm các chia sẻ cho DFS root, bạn cần liên kết các chia sẻ đó với gốc. Thực hiện các bước sau để thêm một liên kết tới DFS root:

1. Kích phải chuột tại đối tượng DFS Root phía dưới nút Distributed File System trên bảng điều khiển DFS và chọn New Link.

2. Hệ thống sẽ yêu cầu đường dẫn UNC để chia sẻ, và đặt một tên cho liên kết. Hộp thoại

New DFS Link cũng cho phép xác định lượng thời gian cho máy khách giữ tham chiếu tới liên kết. Việc làm này sẽ làm giảm lưu lượng mạng bằng cách giảm các tấn công để liên tục tìm kiếm liên kết DFS.

3. Nhập tên liên kết. Tên này sẽ xuất hiện tại ô Preview trên hộp thoại New Link. Hộp thoại này sẽ cho bạn biết đường dẫn của liên kết mới.

4. Kích OK để tạo liên kết.

Vậy là bạn đã thêm vào DFS root và một liên kết, bạn có thể bắt đầu sử dụng môi trường DFS. Bạn có thể liên kết tất cả các chia sẻ tới Departments root (không cần bận tâm tới vị trí thực sự của các chia sẻ); DFS root giúp giảm một số lượng lớn các bước quản lý chia sẻ và tăng tốc độ truy cập tới tất cả các liên kết thêm vào thông qua DFS root dù tập tin chia sẻ đang trên bất kỳ máy chủ nào.

Việc sử dụng DFS sẽ cho phép các quản trị viên chỉ rõ các các ánh xạ điều khiển mạng tới một vị trí để truy nhập tới tất cả các liên kết chia sẻ. Việc giảm bớt số lượng ánh xạ điều khiển và bảo trì có thể kết hợp với việc quản lý các ánh xạ đó.

Tạo các mục bản ghi sự kiện trên Windows Server 2003 Windows Server 2003 ghi lại rất nhiều kiểu sự kiện bao gồm cả các ứng dụng, các sự kiện hệ thống và các mục bảo mật. Các bản ghi sự kiện này rất có ích trong việc theo dõi vấn đề thực thi và những vấn đề của hệ điều hành hay ứng dụng đang chạy trên máy chủ. Bạn có thể tìm thấy các bản ghi sự kiện đặc biệt hữu ích để ghi lại mọi sự kiện khác tới bản ghi bằng cách sử dụng các tiện ích dòng lệnh trên Windows Server 2003. Bạn có thể phát hành tiện ích này bên trong một tập tin .BAT để ghi lại hoạt động của tập tin hoặc có thể gọi vào tập tin này trong suốt quá trình cài đặt tới một bản ghi sự kiện.

Lệnh Event Create để tạo ra một mục bản ghi sự kiện là EventCreate. Thực hiện lệnh EventCreate với đối số /? cung cấp các lệnh như trong bảng dưới đây. C:> eventcreate /S \\servername /L Application /T Success /SO

Application Name /ID 1754 /D “Description of event” Bạn có thể ghi bất kỳ sự kiện nào tới bản ghi bằng lệnh này. Windows Server 2003 thêm rất nhiều sự kiện vào các bản ghi mà không cần sự can thiệp của người dùng, tuy nhiên những tập tin tùy chỉnh được tạo ra để trợ giúp bạn thực hiện bất kỳ nhiệm vụ nào cũng sẽ không để lại dấu vết ghi trên hệ thống trừ phi bạn ghi chúng. Đối sốHoạt động/SChỉ định tên của hệ thống từ xa để kết nối khi đang ghi sự kiện/UChỉ định một tài khoản người dùng để ghi các sự kiện cần thiết /PChỉ định một mật khẩu cho tài khoản người dùng;/LChỉ định bản ghi để ghi sự kiện (ví dụ: Ứng dụng, hệ thống, bảo mật) /TChỉ định kiểu sự kiện; Các kiểu sự kiện hợp lệ bao gồm: SUCCESS, ERROR, WARNING, INFORMATION/SO Chỉ định nguồn của sự kiện (ví dụ: WinWord cho Microsoft Word) /IDChỉ định một ID đối với sự kiện giữa 1 và 1000 (dấu phẩy không được chấp nhận) /D Chỉ định miêu tả các sự kiện được nhập; Mỗi sự kiện được liệt kê trong dấu ngoặc kép. Khi thực hiện các nhiệm vụ tự động trên những hệ thống từ xa, thì việc ghi lại các nhiệm vụ vào bản ghi sự kiện có thể trợ giúp bạn hay các quản trị viên khác nắm được những

hoạt động nào đã thực hiện đồng thời cũng nắm được hệ thống đã phản hồi lại ra sao.

Ghi chú: Lệnh EventCreate cũng đồng thời hoạt động trên các hệ thống cài đặt hệ điều hành Windows XP và Windows Vista.

M.Hà (Theo Techrepublic)Vô hiệu hóa tài khoản người dùng trên Windows Server 2003 Khi một nhân viên rời khỏi công ty, thì việc xóa bỏ tài khoản sử dụng của người đó là một việc làm rất quan trọng. Công ty có thể xóa tài khoản người sử dụng sau nhiều ngày hay tuần, nhưng có thể bạn chi muốn vô hiệu hóa tài khoản đó hơn là xóa hăn đi.

Có hai cách để vô hiệu hóa tài khoản người dùng trên Windows Server 2003. Một phương pháp đạt hiệu quả ngay lập tức và phương pháp còn lại sẽ có tác dụng vào cuối một ngày xác định. Phương pháp sau cho phép Windows xử lý hoạt động vô hiêu hoá tài khoản. Điều này có thể có ích trong trường hợp người dùng rời đi vào một thời điểm đã xác định sẵn. Việc vô hiệu hóa một tài khoản sẽ ngăn chặn tài khoản đó không nhận được thư điện tử (Nếu các thuộc tính thư điện tử đã được cấu hình), và ngăn chặn người dùng đăng nhập hay truy nhập vào các tài nguyên mạng. Nếu bất cứ ai cần truy nhập vào tài khoản đã bị vô hiệu hóa với bất kỳ lý do nào, bạn có thể dễ dàng kích hoạt trở lại tài khoản đó.

Để vô hiệu hóa một tài khoản ngươi dung ngay lâp tức, bạn hay thưc hiện theo các bước sau đây:

1. Mở Active Directory Users And Computers.

2. Tại ô bên phải của cửa sổ Active Directory Users And Computers, kích phải chuột vào tài khoản người dùng bạn muốn vô hiệu hóa và chọn Disable. Bạn sẽ thấy một hộp thoại được hiển thị báo cho biết rằng tài khoản đó đã được vô hiệu hóa.

3. Sau khi hộp thoại thông báo hiển thị, kích OK.

Để thiêt lâp một tài khoản ngươi dung sẽ bị vô hiệu hóa vào cuối của một ngày tháng xác định, hay thưc hiện theo các bước sau:

1. Mở Active Directory Users And Computers.

2. Tại ô bên phải của cửa sổ Active Directory Users And Computers, kích phải chuột vào tên tài khoản người dùng bạn muốn vô hiệu hóa và chọn Properties.

3. Kích thẻ Account trên hộp thoại thuộc tính tài khoản người dùng.

4. Tại ô phía dưới thẻ Account, chọn ngày tháng bạn muốn tài khoản sẽ bắt đầu bị vô

hiệu hóa rồi kích OK.

Việc xóa một tài khoản người dùng là loại bỏ tất cả các thuộc tính của đối tượng người sử dụng từ Active Directory. Nếu một đối tượng người dùng đã bị xóa từ Active Directory thì bạn sẽ cần khởi tạo ra một người dùng mới và thêm tất cả những thuộc tính cần thiết, cũng như một Security Identifier (nhận biết bảo mật) trong trường hợp người dùng quay trở lại công ty.

Ghi chú: để việc vô hiệu hóa tài khoản người dùng được hoàn tất thì sau khi thay đổi bạn cần tạo lại bản sao trên môi trường Active Directory của mình. Vì nếu có các vấn đề với bản sao thư mục, bạn có thể thấy sự xuất hiện lại của những tài khoản đã bị xóa hay sự kích hoạt lại các tài khoản đã được vô hiệu hóa.

Trương hợp không cân sư dung lại tài khoản đó thi bạn có thể xóa bo đối tượng tài khoản ngươi dung theo các bước sau:

1. Mở Active Directory Users And Computers.

2. Kích phải chuột tại đối tượng tài khoản người dùng (User Account Object) bạn muốn xóa.

3. Chọn Delete từ trình đơn ngữ cảnh.

4. Kích Yes khi được hỏi liệu bạn có muốn xóa đối tượng hay không.

Quản trị Windows Server 2003 từ máy trạm XP Bạn cảm thấy mệt mỏi với việc phải di chuyển qua lại giữa văn phòng làm việc với phòng máy chủ để thực hiện những nhiệm vụ cần thiết cho mạng của công ty? Với bài hướng dẫn này, bạn có thể tải các công cụ quản trị mạng về chính máy trạm XP của mình, thực hiện các thao tác với máy chủ một cách nhanh chóng và hiệu quả.

Windows Server 2003 ra mắt với rất nhiều các công cụ quản trị mạng mạnh mẽ và phong phú. Bạn có thể sử dụng chúng để cấu hình máy chủ thực hiện những nhiệm vụ cần thiết. Thường thì bạn phải ngồi trước máy chủ và thực hiện các thao tác quản lý hoặc tối thiểu là kết nối từ xa tới máy chủ. Điều này có thể làm chậm và khá không thuận tiện, nó làm cho khó có thể thực hiện các nhiệm vụ cần thiết một cách nhanh chóng.

May thay, sử dụng các công cụ tích hợp được giới thiệu trong Windows Server 2003, bạn có thể chạy các công cụ quản trị trực tiếp từ một trạm làm việc. Tất cả những gì phải làm là tải về một vài công cụ từ đĩa CD Windows Server 2003. Còn đây là cách thực hiện.

Bắt đầu

Đầu tiên, hãy chắc chắn là máy trạm dùng để quản lý của bạn sử dụng Windows XP Service Pack 1 hoặc các phiên bản sau này. Nếu sử dụng Windows 2000 Professional hay Windows 9x trên máy trạm quản trị thì có thể sẽ gặp lỗi.

Tiếp theo, bạn cần tìm đĩa CD Windows Server 2003 gốc. Đưa nó vào máy Windows XP mà bạn tính sẽ sử dụng làm máy trạm quản lý. Vào cửa sổ lệnh và gõ vào câu lệnh sau: msiexec /i x:\i386\adminpak.msi

với x: là ký tự ổ đĩa CD-ROM, sau đó nhấn Enter. Nếu cài đặt không bắt đầu đúng cách, kiểm tra file ADMINPAK.MSI trong thư mục I386 nằm trong ổ CD-ROM. Nếu nó không có trong thư mục đó, bạn có thể phải chọn lại đĩa cài đặt vì trong Windows Server 2003 Small Bussiness Edition file cần thiết nằm trong đĩa 1.

Khi có quá trình cài đặt bắt đầu, bạn sẽ thấy một màn hình cài đặt Windows xuất hiện. Bạn không phải lo lắng nhiều về việc cài đặt này, nó rất đơn giản chỉ cần thực hiện theo hướng dẫn đưa ra để cài đặt các công cụ. Sau khi mọi việc được thực hiện xong, chỉ cần kích Finish.

Sử dụng công cụ

Sau khi kích Finish, bạn có thể bắt đầu sử dụng công cụ mà không cần khởi động lại máy trạm quản trị. Tuy nhiên trước khi bắt đầu sử dụng công cụ, bạn vẫn cần phải logoff và logon lại vào mạng. Hãy đảm bảo bạn đã log vào máy trạm với tài khoản người dùng có quyền Domain Admin trong mạng. Bạn có thể sẽ cần thêm một vài quyền khác để có thể thực hiện được mọi công việc cần thiết trong mạng. Trong trường hợp đó, người dùng sẽ cần quyền quản trị trên máy trạm tương đương với quyền thực hiện nhiệm vụ tương tự trên máy chủ.

Bạn có thể tìm thấy các công cụ bằng cách kích vào Start | All Programs | Administrative Tools. Trong thư mục này, bạn sẽ tìm thấy các công cụ mới được thêm xen vào giữa những công cụ chuẩn của Windows XP.

Hình 1: Bạn sẽ tìm thấy các công cụ mới trong thư mục Administrative Tools. Như bạn thấy trên hình, có thể thực hiện mọi thứ như máy chủ từ máy trạm trong văn phòng của bạn. Các công cụ được cho như sau:

Active Directory Users And Computers Active Directory Sites And Services DHCP Manager DNS Manager Terminal Services Manager Cluster Administrator

Các công cụ này chạy trên máy trạm cũng giống như sử dụng trên máy chủ. Bạn có thể thấy một sự trễ nhỏ khi chạy các công cụ bởi tiện ích này phải truy cập máy chủ thông qua mạng, do đó đương nhiên sẽ chạy chậm hơn một chút so với chạy trực tiếp trên bản thân máy chủ.

Khi sử dụng một trong những công cụ này, bạn có thể nhận được nhắc nhở kết nối tới một máy tính (như hình 2). Hãy đảm bảo kết nối đúng tới tên và địa chỉ IP của máy chủ mà bạn muốn quản lý. Không chọn phần This Computer vì bạn đang sử dụng một máy trạm quản trị, các dịch vụ cần thiết sẽ không nằm trên máy này mà nằm trên máy kết nối tới.

Hình 2: Hãy đảm bảo kết nối tới máy tính thích hợp. Một vài công cụ mới

Bạn có thể lưu ý trong danh sách các công cụ xuất hiện trên máy trạm có cả những công cụ không có trên chính máy chủ. Các công cụ đó bao gồm:

Active Directory Management Public Key Management IP Address Management

Các công cụ này được gọi là Convenience Consoles, thực tế chúng là bảng điều khiển quản trị và là tập hợp của các công cụ quản trị thường dùng. Ví dụ như Active Directory Management (hình 3) là một nhóm các tiện ích Active Directory Users And Computers, Active Directory Domains And Trusts, Active Directory Sites And Services, và DNS Manager đặt trong cùng một giao diện.

Hình 3: Nhóm Convenience Consoles bao gồm các công cụ phổ biến thường dùng IP Address Management (hình 4) là hợp nhất của DHCP Manager, DNS Manager, và WINS Manager. Bạn sẽ cần đến những tiện ích này khi quản trị dịch vụ IP trong mạng.

Hình 4: IP Address Management giúp bạn quản trị được TCP/IP trong mạng Cuối cùng, Public Key Management (hình 5) nhóm các công cụ the Certification Authorities, Certificate Templates, Certificates For Current User, và Certificates For Local Computer lại với nhau.

Hình 5: Public Key Management giúp bạn quản trị các chứng thực Nâng cao khả năng quản trị hơn nữa với Support Tools

Sau khi đã có các chương trình quản trị chạy trên máy trạm, bạn cũng có thể thêm một vài công cụ mạnh mẽ hơn bằng cách tải về Support Tools. Đầu tiên bạn cần tìm đĩa CD Windows Server 2003 gốc. Đưa đĩa vào máy Windows XP đang sử dụng để làm máy trạm quản trị. Tại cửa sổ lệnh bạn gõ lệnh sau: msiexec /i x:\support\tools\suptools.msi /q addlocal=all

với x: là tên ổ đĩa CD-ROM, sau đó nhấn Enter. Thêm cài đặt của tất cả các file hỗ trợ vào máy trạm Windows XP. Điều này sẽ tiêu tốn khoảng hơn 10Mb dung lượng ổ cứng. Nó chắc chắn là lựa chọn tốt nhất để có toàn bộ các công cụ thường dùng trên một máy trạm quản trị mới.

Nếu việc cài đặt không thực hiện được, hãy kiểm tra lại file SUPTOOLS.MSI trong thư mục SUPPORT\TOOLS của ổ CD. Nếu không thấy nó, bạn có thể phải chọn lại đĩa vì trong Windows Server 2003 Small Business Edition, file cần thiết nằm ở đĩa 2.

Khi các file chạy, bạn sẽ thấy một màn hình cài đặt Windows wizard xuất hiện. Bạn sẽ nhận thấy có một vài hoạt động diễn ra trên ổ cứng máy trạm XP và ổ CD-ROM. Sau đó, sẽ có một thư mục mới có tên Windows Support Tools trong menu Start | All Programs.

Không có bất kỳ chương trình thực sự nào trong thư mục này nhưng nó hỗ trợ các tiện ích nằm trong thư mục Program Files\Support Tools trên máy trạm. Có hàng tá tiện ích được bổ xung cho khả năng hỗ trợ và xử lý sự cố trên máy chủ Windows Server 2003 của bạn. Các tiện ích đó bao gồm:

Acldiag.exe - ACL Diagnostics Clonepr - ClonePrincipal Dsastat.exe - Directory Services Utility Movetree.exe - Active Directory Object Manager Replmon.exe - Active Directory Replication Monitor

Dmdiag.exe - Disk Manager Diagnostics Ftonline.exe - Fault Tolerant Disk Mounter

Hãy đảm bảo bạn luôn cẩn thận khi sử dụng các công cụ này. Một lỗi xảy ra cũng có thể là nguyên nhân gây nguy hiểm tro mạng của bạn. Sử dụng từng công cụ cụ thể không nằm trong phạm vi bài viết này nhưng bạn có thể tìm thấy chúng trong nhiều bài báo khác của chúng tôi.

Windows Server 2003: Công nghệ Snapshot Snapshot là một trong những tính năng mới của Windows Server 2003 (Microsoft gọi nó là Shadow Copies) sẽ sớm được sử dụng trong hầu hết các trung tâm dữ liệu. Mỗi snapshot là hình ảnh nhất quán của hệ thống tệp (file system) tại một thời điểm.

Ngay cả sau khi người dùng đã thay đổi dữ liệu, snapshot vẫn lưu lại cho chúng ta một bản sao chỉ đọc giống hệt như khi chúng ta "chụp ảnh" hệ thống. Các snapshot được giữ nguyên qua những lần khởi động lại và có thể truy nhập trực tuyến như mọi file system khác, với những công cụ và giao diện tương tự. Một số sản phẩm snapshot thậm chí còn có thể trải dài trên nhiều file system.Công nghệ này thực ra đã tồn tại trong mấy năm qua. Nó gần như là chuẩn trong các sản phẩm NAS như phần cứng của NetAppliances (NetApp) hay phần mềm của Mountain View Data (MVD). Trong sản phẩm Persistent Storage Manager (PSM), Columbia Data Products (CDP) đã đưa snapshot vào Microsoft Server Appliance Kit và các giải pháp trên Windows của các nhà sản xuất thiết bị gốc (OEM) khác. Veritas cũng có snapshot trong file system VxFS cho Solaris, Linux và các hệ Unix khác. Chúng ta cũng có được công nghệ snapshot dựa trên volume từ LVM của nhân Linux 2.4, tích hợp với tất cả các file system chuẩn.

Snapshot khác với nhân bản (replication). Mặc dù có một số đặc tính của snapshot nhưng việc nhân bản dữ liệu liên quan tới nhiều vấn đề khác biệt căn bản so với công nghệ snapshot. Một trong số đó là các sản phẩm nhân bản thường sao chép dữ liệu từ máy này sang máy khác trong khi các snapshot nằm trên cùng một máy với dữ liệu hoạt động.

Không phải là một bản sao

Mặc dù snapshot có vẻ như là một cách lưu các bản sao của tất cả các tệp trên cùng một máy nhưng công nghệ này còn làm được nhiều hơn thế. Nếu xét theo nghĩa đen thì công nghệ snapshot làm ít hơn rất nhiều! Nếu snapshot là các bản sao thực sự thì 5 snapshot sẽ chiếm dung lượng bằng 5 lần dữ liệu gốc. Ngược lại, các sản phẩm snapshot sử dụng cơ chế Copy-On-Write (COW), chỉ chép dữ liệu khi một ứng dụng thay đổi hay xoá nó. Thường thì "bản sao" này là một con trỏ chỉ tới một khối dữ liệu trống mới.

Khi bạn "chụp ảnh" một file system hoạt động, hệ thống chỉ phải làm rất ít việc, chẳng hạn như đặt các cờ và tạo một số cấu trúc dữ liệu nhỏ nhưng đối với các khối dữ liệu hay các tệp thì có thể coi như không có chuyện gì xảy ra. Vì thế, ngay cả với những hệ thống tải nặng với dung lượng dữ liệu khá lớn, việc "chụp một bức ảnh" chỉ mất có vài giây.

Mặc dù tất cả các tệp đều có thể nhìn thấy ngay lập tức trong snapshot nhưng công việc thực sự chỉ được thực hiện khi một ứng dụng làm thay đổi dữ liệu. Khi đó, dữ liệu cũ được chép vào snapshot và một cờ được thiết lập để vùng dữ liệu đó không được chép lại vào lần thay đổi sau, trừ khi một snapshot mới được tạo ra. Những dữ liệu không thay đổi trong file system hoạt động sẽ không được chép vào snapshot. Do đó, dung lượng đĩa cần cho một snapshot phụ thuộc vào mức độ thay đổi của dữ liệu chứ không phải độ lớn của file system ban đầu.

Truy nhập các snapshot

Mỗi sản phẩm có một cách riêng để truy nhập các tệp trong snapshot. Trong NetApp Filer có một thư mục giả được đặt tên là ".snapshot" trong mỗi thư mục của file system hoạt động. MVD dùng một cơ chế tương tự nhưng đặt tên các thư mục đó là ".snap" (với người dùng Windows, dấu . có thể được thay thế bởi dấu ~).

Với phương pháp này, mỗi người dùng có thể vào thư mục .snap từ bất kỳ thư mục nào. Ví dụ như từ thư mục /home/tuan, người dùâng Tuấn có thể thấy các thư mục Wed7am hay weekly.1 tương ứng với mỗi snapshot được lưu. Các tệp hay thư mục tồn tại vào thời điểm 7 giờ sáng ngày thứ tư sẽ được tìm thấy trong thư mục /home/tuan/.snap/Wed7am thậm chí cả sau khi chúng đã bị xoá. Trong trường hợp xấu nhất, nếu thư mục cha /home/tuan đã bị xoá thì Tuấn vẫn có thể chuyển tới thư mục gốc và xem thư mục /.snap/Wed7am/home/tuan.

PSM cũng làm theo cách tương tự nhưng thay vì tạo ra các thư mục giả trong mỗi thư mục con, các snapshot của sản phẩm này được lưu trong một thư mục đặc biệt mức cao nhất của hệ thống NTFS. Phiên bản cũ của F:\myfile có thể nằm trong F:\snapshots\hourly.5\myfile. Trong Windows 2003, bạn phải chia sẻ ổ đĩa gốc (\\localhost\f$) trước tiên rồi sau đó mới có thể View, Copy hay Restore một tệp từ các tab mới của hộp thoại Properties. Cũng có những tiện ích bổ sung để thực hiện các chức năng trên trên các máy trạm Windows khác.

VxFS của Veritas gắn mỗi snapshot với một thiết bị khối (block device) đặc biệt có thể tải (mount) được như một file system VxFS độc lập. Veritas gọi chúng là Storage Checkpoints để phân biệt với các file system snapshot (giống với các vùng đệm chứa tệp mở hơn) và các VxVM snapshot - những mirror volume. Trong LVM, bạn tạo ra một volume lôgic mới như một snapshot rồi mount nó thành một file system có kiểu phù hợp.

Sao lưu trực tuyến

Các snapshot giữ nguyên phân quyền của các tệp và thư mục ban đầu. Kỹ thuật COW cho phép lưu giữ đồng thời một số lớn các phiên bản. Vì thế, các snapshot thường được dùng như các bản sao trực tuyến.

Snapshot bảo vệ dữ liệu khỏi các sửa đổi vô tình, ví dụ như việc ghi đè hay xoá nhầm một tệp, và phần lớn các sự cố do lỗi của người dùng liên quan tới tệp. Không giống như quá trình lựa chọn cho khôi phục từ băng từ, khi người dùng muốn khôi phục một tệp từ

các bản sao lưu trực tuyến, anh ta có thể duyệt rất nhiều phiên bản khác nhau và chọn tệp thích hợp nhất. Ngoài ra, khác với khôi phục từ băng từ, phần lớn người dùng có thể tự làm trong vài phút mà không cần đến sự giúp đỡ của trung tâm.

Tuy nhiên, snapshot không chống lại được các hỏng hóc về phần cứng hay hệ thống. Một người quản trị ác ý có thể xoá các snapshot.Vì thế, snapshot không thay thế được việc sao lưu bằng băng từ hay nhân bản dữ liệu sang các địa điểm khác.

Quản lý tệp mở

Cũng giống như các bản sao trên băng từ, nếu bạn muốn khôi phục dữ liệu cũ, trước hết bạn phải có được một "bức ảnh" nhất quán của dữ liệu. Các sản phẩm snapshot đưa file system tới trạng thái ổn định bằng cách dồn (flush) hết các nhật ký, bộ đệm dữ liệu (data buffer), ... ra đĩa rồi tạm thời ngăn tất cả các thao tác IO trong quá trình "chụp ảnh". Việc đó giúp tránh các hỏng hóc của file system. Ngay cả LVM, một chương trình quản lý volume, cũng có mức tích hợp cơ bản này với các file system Linux chuẩn.

Tuy nhiên các ứng dụng vẫn có thể có các bộ đệm bên trong chưa được dồn ra đĩa hay đang trong quá trình ghi một lượng lớn dữ liệu trong lúc hệ thống đang tạo snapshot. Cách đơn giản nhất để tránh điều đó là tắt các ứng dụng khi tạo snapshot. Các hệ quản trị cơ sở dữ liệu và các ứng dụng cao cấp khác thường có chế độ sao lưu nóng cho phép ổn định dữ liệu trên đĩa của chúng mà không phải tắt (shutdown) hẳn.

Dù với phương pháp ổn định dữ liệu nào thì thời gian ngừng hoạt động của các ứng dụng vẫn khá nhỏ vì việc tạo snapshot hoàn thành rất nhanh. Hơn thế, các snapshot có thể được dùng để tối ưu hoá việc sao lưu bằng băng từ. Bạn chỉ việc sao lưu một snapshot thay vì cả file system và nhờ đó tiết kiệm rất nhiều thời gian. Cách tiếp cận này hơi khác với Open File Manager (OFM) vốn không đòi hỏi phải tắt các ứng dụng. Một OFM tìm một thời điểm có vẻ không có tác vụ ghi đĩa nào và xác suất dữ liệu trên đĩa ổn định là cao hơn. PSM bao gồm cả các tính năng OFM tổng quát với các thiết lập do người dùng điều chỉnh.

Windows 2003 đi xa hơn nữa với việc giới thiệu một cơ sở hạ tầng hoàn chỉnh gọi là Volume Shadow Copy Service có khả năng yêu cầu các ứng dụng "nằm yên" (quiesce) trong quá trình "chụp ảnh". Khả năng đó giúp tự động hoá những việc như đưa một CSDL vào chế độ "hot standby" và giúp cho tất cả các loại sao lưu trở nên tin cậy hơn nhưng cũng đòi hỏi mỗi ứng dụng tự hỗ trợ nó.

Các ứng dụng khác

Một số sản phẩm snapshot có tính năng thao tác nhanh cho phép người quản trị quay lui (rollback) toàn bộ file system về một trạng thái trong quá khứ. Đó là một phương pháp khôi phục nhanh chóng sau khi bị virus tấn công mà bạn không biết chính xác những tệp nào bị hỏng hay một chiến lược quay lui hiệu quả trước khi cài đặt một bản patch hoặc một ứng dụng mới. Windows 2003, NetApp và MVD Powered NAS đều có tính năng này.

Snapshot cũng có thể là một cách làm nhanh chóng, dễ dàng để tạo ra các bản sao của dữ liệu sống cho các mục đích hỗ trợ quyết định mà không làm gián đoạn các hoạt động kinh doanh. CDP và Veritas thậm chí còn hỗ trợ các snapshot có thể ghi được nhằm giúp bạn thay đổi dữ liệu snapshot trực tuyến theo các điều kiện giả định được thiết lập trước.

Lập lịch

Nhiều nhà quản trị hệ thống giả lập lịch sao lưu ra băng từ bằng cách tạo các snapshot hàng ngày, hàng tuần và hàng tháng. Với các hệ thống hỗ trợ hàng trăm snapshot cho mỗi file system, việc làm đó có thể được thực hiện thường xuyên hơn nhiều. Phần lớn các sản phẩm hiện tại có tiện ích quản trị giúp bạn làm điều đó một cách dễ dàng.

Mặc dù Windows 2003 đặt mặc định việc tạo snapshot vào 7 giờ và 12 giờ hàng ngày nhưng Warren Miller, Phó chủ tịch Product Marketing của Columbia Data Products nói rằng họ thường thấy khách hàng lập lịch tạo snapshot hàng giờ và lưu các snapshot theo giờ trong 3 ngày, các snapshot theo ngày trong 3 tuần và các snapshot theo tháng trong 3 năm. Ông cũng dự đoán rằng trong tương lai, khả năng sử dụng snapshot sẽ được đưa trực tiếp vào các sản phẩm cho người dùng cuối và được các ứng dụng tự kích hoạt khi chúng thấy thích hợp nhất.

Quản lý không gian

Không gian đĩa cần cho các snapshot bắt đầu từ số 0 và tăng dần theo thời gian. Nếu bạn muốn đảm bảo sự sẵn sàng của các bản sao trực tuyến, bạn sẽ phải lập kế hoạch và giám sát không gian đĩa một cách cẩn thận.

Số snapshot mà một hệ thống có thể hỗ trợ phụ thuộc vào (1) số lượng và thời gian lưu giữ các snapshot được tạo ra và (2) số lượng và kiểu ghi xảy ra giữa các snapshot. Nếu bạn có một hệ thống đang hoạt động, hãy đo độ thay đổi của các tệp trong một thời gian nhất định và ước đoán dung lượng cần thiết cho mỗi chế độ lập lịch.

Ngay cả với những kế hoạch tốt nhất, bạn vẫn cần biết điều gì xảy ra khi không còn đủ không gian đĩa để chép dữ liệu cũ vào một snapshot. Một số hệ thống tự động xoá các snapshot cũ hay có độ ưu tiên thấp cho tới khi có đủ không gian - đôi khi có thể xoá hết. Một số hệ thống vô hiệu các snapshot nhưng không xoá chúng. Một số khác lại để mặc cho file system hoạt động bị đầy - những hệ thống kiểu này sẽ khiến cho người dùng lẫn lộn.

Để làm nhẹ bớt các vấn đề trên, một số sản phẩm có cơ chế xoá các snapshot mỗi khi đạt tới một giới hạn nào đó. Một số khác cho phép bạn dùng một volume riêng cho các snapshot. Các bạn có thể xem bảng dưới đây để biết thêm chi tiết.

Nếu bạn muốn sử dụng một cách hiệu quả nhất không gian đĩa, NetApp cung cấp một cơ chế duy nhất gọi là "file folding". Khi kích hoạt cơ chế này, các khối dữ liệu trên file system hoạt động được so sánh với những khối tương ứng trong các snapshot gần nhất.

Nếu tìm thấy các khối giống nhau (có thể xảy ra trong trường hợp một tệp đã được ghi đè với một bản sao giống hệt), hệ thống sẽ hợp nhất chúng bằng cách thao tác trên các con trỏ inode. Tuy nhiên, để có được điều đó chúng ta phải đánh đổi hiệu năng của hệ thống.

Tác động tới hiệu năng của hệ thống

Các snapshot buộc hệ thống phải chịu đựng một số gánh nặng để đổi lấy sự tiện lợi. Do cơ chế COW, hiệu năng ghi, nhất là lần ghi đầu tiên vào một tệp, sẽ bị giảm đi. Ngoài ra, hiệu năng đọc của một snapshot cũng sẽ bị ảnh hưởng nếu cách triển khai của snapshot phải xác định dữ liệu vẫn còn thuộc file system hoạt động hay đã được chép vào snapshot.

CK Chan, Tổng Giám đốc của Network Appliances, SE Asia, nói rằng "tác động tới hiệu năng khi sử dụng snapshot là không đáng kể vì NetApp đã xây dựng các snapshot như một phần của file system". Hơn nữa, ông ta cho rằng "có thể duâng hïët 255 baãn snapshot maâ vêîn khöng nhêån thêëy hiïåu nùng giaãm chút nào".

Mặc dù các phát biểu trên hơi có vẻ lạc quan nhưng báo cáo từ các nhà cung cấp khác cũng cho kết quả tương tự, hiệu năng chỉ giảm từ 3 tới 15%. Tuy nhiên, cần nhớ rằng hiệu năng khi sử dụng một số lớn snapshot sẽ thay đổi đáng kể tuỳ theo lượng dữ liệu thay đổi giữa các snapshot. Vì vậy, nếu bạn định tạo nhiều snapshot trên hệ thống chạy thật, hãy thử nghiệm thật kỹ để xác định số snapshot tối đa tương ứng với mức hiệu năng mà bạn có thể chấp nhận.

Ngoài những thứ đã nêu trên đây, có rất nhiều sản phẩm snapshot khác trên thị trường, đặc biệt là trong các ứng dụng NAS. Là một cấu phần trung tâm của chiến lược sao lưu, các snapshot không chỉ giảm bớt gánh nặng của công việc sao lưu mà còn giúp người dùng phục hồi tệp một cách nhanh chóng và dễ dàng hơn so với các băng từ, đem lại cho bạn những lựa chọn khôi phục bạn chưa bao giờ có.